Siber güvenlik araştırmacıları, sahte sesli mesajlar ve satın alma siparişleri kullanan yeni bir kimlik avı kampanyasını işaretledi. Uphrypter.
Kampanya, “ikna edici kimlik avı sayfalarına bağlı kötü amaçlı URL’ler sunmak için özenle hazırlanmış e -postalardan yararlanıyor” dedi Fortinet Fortiguard Labs araştırmacısı Cara Lin. “Bu sayfalar, alıcıları upcrypter için damlaçiye görevlendiren JavaScript dosyalarını indirmeye ikna etmek için tasarlanmıştır.”
Kötü amaçlı yazılımları yayan saldırılar, Ağustos 2025’in başından bu yana dünya çapında öncelikle üretim, teknoloji, sağlık, inşaat ve perakende/misafirperverlik sektörlerini hedeflemektedir. Enfeksiyonların büyük çoğunluğu Avusturya, Belarus, Kanada, Mısır, Hindistan ve Pakistan’da gözlemlenmiştir.
Upcrypter, pureHVNC sıçan, DCRAT (diğer adıyla Darkcrystal sıçan) ve her biri bir saldırganın güvenliği ihlal edilmiş konakçıların tam kontrolünü ele geçirmesini sağlayan çeşitli uzaktan erişim araçları (sıçanlar) için bir kanal olarak işlev görür.
Enfeksiyon zincirinin başlangıç noktası, sesli mesaj mesajları ve alıcıları, sesli açılış sayfalarına doğrudan olan bağlantıları tıklamaya, sesli mesajı veya PDF belgesini indirmeleri istenen bağlantıları tıklamaya yönlendirmek için bir kimlik avı e -postasıdır.
Fortinet, “LURE sayfası, sadece kurbanın alan dizisini afişinde görüntüleyerek değil, aynı zamanda alanının logosunu, özgünlüğü güçlendirmek için sayfa içeriğine getirerek ve yerleştirerek ikna edici görünecek şekilde tasarlanmıştır.” Dedi. “Birincil amacı kötü niyetli bir indirme sunmaktır.”
İndirilen yük, daha sonra bir sonraki aşamalı kötü amaçlı yazılımları almak için harici bir sunucu ile iletişim kuran, ancak yalnızca internet bağlantısını onayladıktan ve adli araçlar, hata ayıklılar veya kum havuzu ortamları için çalışma işlemlerini taradıktan sonra, harici bir sunucu ile iletişim kuran bir zip arşividir.
Loader, sırayla, nihai yükü düz metin şeklinde veya zararsız görünümlü bir görüntünün içine gömülü olan, steganografi adı verilen bir teknikle aynı sunucu ile temasa geçer.
Fortinet, Upcrypter’ın ayrıca JavaScript karşılığı gibi, anti-analizi ve santa anti-anti-virtual makine kontrollerini gerçekleştiren bir MSIL (Microsoft ara dil) yükleyici olarak dağıtıldığını söyledi: Gizli bir PowerShell betiği, bir DLL ve ana yük.
Saldırı, komut dosyası DLL yükleyiciden ve yürütme sırasında yükten veri yerleştirme ile sonuçlanır, böylece kötü amaçlı yazılımın dosya sistemine yazmadan çalıştırılmasına izin verir. Bu yaklaşım aynı zamanda adli izleri en aza indirme avantajına sahiptir, böylece kötü amaçlı yazılımın radarın altında uçmasına izin verir.
Lin, “Aktif olarak korunmuş bir yükleyici, katmanlı gizleme ve çeşitli sıçan teslimatının kombinasyonu, savunmaları atlayabilen ve farklı ortamlarda kalıcılığı koruyabilen uyarlanabilir bir tehdit dağıtım ekosistemi gösteriyor.” Dedi.
Açıklama, Check Point’i, Google Classroom’u kötüye kullanan büyük ölçekli bir kimlik avı kampanyasının, 6 ve 12 Ağustos 2025 arasında birden fazla endüstride 13.500 kuruluşa yönelik 115.000’den fazla kimlik avı e-postasını dağıtmak için ayrıntılı olarak ortaya çıkıyor. Saldırılar Avrupa, Kuzey Amerika, Orta Doğu ve Asya’daki organizasyonları hedefliyor.
Şirket, “Saldırganlar, ürün yeniden satış sahalarından SEO hizmetlerine kadar değişen ilgisiz ticari teklifler içeren sahte davetiyeler göndererek bu güveni kullandı.” Dedi. “Her e -posta, alıcıları genellikle dolandırıcılık planlarına bağlı bir taktik olan WhatsApp telefon numarası aracılığıyla dolandırıcılarla iletişime geçmeye yönlendirdi.”
Saldırı, Güvenlik Sistemleri’ni atlar, çünkü Google Classroom’un altyapısının güvenini ve itibarını SPF, DKIM ve DMARC gibi önemli e -posta kimlik doğrulama protokollerini atlamak ve kullanıcıların gelen kutularına kimlik avı e -postalarını almaya yardımcı olur.
Bu kampanyalar, tehdit aktörlerinin Microsoft 365 Doğrudan Gönder ve OneNote gibi meşru hizmetlerden yararlandığı daha büyük bir trendin bir parçasıdır, Vercel ve Flazio gibi kötüye kullanılmaz yapay zeka (AI) destekli web sitesi üreticisi, Discord CDN, Sendgrid, Zoom, Clickfunnels, jotform ve x’ler gibi hizmetler gibi hizmetler[.]CO Link Kısaltıcı-Yaşayan Güvenli Siteler (Lots) olarak bilinen bir yaklaşım.
Varonis, geçen ay yayınlanan bir raporda, “Tehdit oyuncusu bir kuruluştaki bir kuruluştaki bir kullanıcının M365 kimlik bilgilerini kazandıktan sonra, bir sonraki kimlik avı aşaması için lure URL’sini yerleştirerek, uzlaşmış kullanıcının kişisel belgeler klasöründe bir onenote dosyası oluşturdular.”
Direct Send’in kötüye kullanılması, Microsoft’u sorunu doğrudan ele almak için “Doğrudan Gönder” adlı kuruluşlar için bir seçenek sunmaya teşvik etti. Alternatif olarak, müşteriler dahili iletişim olduğunu iddia eden ancak gerçekte değil, özel başlık damgası ve karantina politikaları da uygulayabilir.
Bu gelişmelere, hem otomatik algılama sistemlerinin hem de insan analistlerinin önünde kalmak için kimlik avı sayfalarındaki müşteri tarafı kaçırma tekniklerine dayanan saldırganlara da eşlik etmektedir. Bu, JavaScript tabanlı engelleme, tarayıcıdaki tarayıcı (BITB) şablonlarının kullanımını ve NOVNC’yi kullanarak sanal masaüstü ortamlarının içindeki sayfaları barındırmayı içerir.
Doppel, “Popülerlikte büyüyen dikkate değer bir yöntem, JavaScript tabanlı anti-analiz komut dosyalarının kullanılmasıdır; kimlik avı sayfalarına, sahte teknoloji destek sitelerine ve kötü niyetli yönlendirmelere gömülü küçük ama etkili kod parçaları.” Dedi. “Bu tür herhangi bir etkinlik belirlendikten sonra, site kullanıcıyı derhal boş bir sayfaya yönlendirir veya daha fazla etkileşimi devre dışı bırakır, daha derin bir inceleme yapılmadan önce erişimi engeller.”