Pesquisadores em cybersecurity identificaram uma nova campanha de phishing que utiliza mensagens de voz falsas (fake voicemails) e ordens de compra fraudulentas para distribuir um malware loader chamado UpCrypter.
“A campanha utiliza emails cuidadosamente elaborados para entregar URLs maliciosas vinculadas a páginas de phishing convincentes”, explicou Cara Lin, pesquisadora do Fortinet FortiGuard Labs.
Essas páginas são desenvolvidas para induzir os destinatários a baixar arquivos JavaScript que funcionam como droppers para o UpCrypter.
Os ataques que propagam esse malware vêm focando principalmente os setores de manufatura, tecnologia, saúde, construção e varejo/hospitalidade em todo o mundo desde o início de agosto de 2025.
A maioria das infecções foi observada na Áustria, Bielorrússia, Canadá, Egito, Índia e Paquistão, entre outros países.
O UpCrypter funciona como um canal para diversas ferramentas de acesso remoto (RATs), como PureHVNC RAT, DCRat (também conhecido como DarkCrystal RAT) e Babylon RAT, que permitem ao atacante ter controle total sobre os hosts comprometidos.
A cadeia de infecção inicia-se com um email de phishing que usa temas relacionados a mensagens de voz e compras para enganar os destinatários, fazendo com que eles cliquem em links que direcionam a landing pages falsas, onde são induzidos a baixar a mensagem de voz ou um documento PDF.
“A página de isca é projetada para parecer convincente não só exibindo o domínio da vítima em seu banner, como também buscando e incorporando o logotipo do domínio no conteúdo da página para reforçar a autenticidade”, informou o Fortinet.
Seu propósito principal é entregar um download malicioso.
O payload baixado é um arquivo ZIP contendo um arquivo JavaScript ofuscado, que subsequentemente entra em contato com um servidor externo para buscar o malware da próxima etapa, mas somente após confirmar a conectividade com a internet e escanear os processos em execução em busca de ferramentas forenses, depuradores (debuggers) ou ambientes de sandbox.
O loader, por sua vez, contata o mesmo servidor para obter o payload final, que pode estar na forma de texto simples ou embutido dentro de uma imagem aparentemente inofensiva, uma técnica conhecida como steganography.
O Fortinet informou que o UpCrypter também é distribuído como um loader MSIL (Microsoft Intermediate Language) que, assim como sua versão em JavaScript, realiza verificações anti-análise e anti-máquina virtual, baixando em seguida três payloads diferentes: um script PowerShell ofuscado, uma DLL e o payload principal.
O ataque culmina com o script incorporando dados do loader DLL e do payload durante a execução, permitindo que o malware rode sem ser gravado no sistema de arquivos.
Essa abordagem também minimiza rastros forenses, facilitando a ação furtiva do malware.
“Essa combinação de um loader mantido ativamente, obfuscação em camadas e entrega diversificada de RATs demonstra um ecossistema de ameaças adaptável, capaz de superar defesas e manter persistência em diferentes ambientes”, afirmou Lin.
Essa divulgação ocorre paralelamente a um relatório da Check Point que detalhou uma campanha de phishing em grande escala usando o Google Classroom para distribuir mais de 115 mil emails de phishing direcionados a 13.500 organizações de múltiplos setores entre 6 e 12 de agosto de 2025.
Os ataques atingiram organizações na Europa, América do Norte, Oriente Médio e Ásia.
“Os atacantes exploraram essa confiança enviando convites falsos contendo ofertas comerciais não relacionadas, desde propostas de revenda de produtos até serviços de SEO”, afirmou a empresa.
Cada e-mail direcionava os destinatários a contatar os golpistas via número de telefone do WhatsApp, uma tática normalmente associada a esquemas fraudulentos.
O ataque contorna os sistemas de segurança porque aproveita a confiança e a reputação da infraestrutura do Google Classroom para burlar protocolos de autenticação de email importantes, como SPF, DKIM e DMARC, ajudando a entregar os emails de phishing diretamente nas caixas de entrada dos usuários.
Essas campanhas fazem parte de uma tendência maior em que atores maliciosos exploram serviços legítimos como Microsoft 365 Direct Send e OneNote, além de abusar de construtores de sites gratuitos baseados em inteligência artificial (AI), como Vercel e Flazio, e também de serviços como Discord CDN, SendGrid, Zoom, ClickFunnels, Jotform e o encurtador de links t[.]co do X – uma abordagem conhecida como living-off-trusted-sites (LOTS).
“Após o ator de ameaça obter credenciais M365 de um usuário em uma organização via phishing, criaram um arquivo OneNote na pasta Documents pessoal do usuário comprometido no OneDrive, incorporando a URL da isca para a próxima etapa do phishing”, explicou a Varonis em um relatório publicado no mês passado.
O uso indevido do Direct Send levou a Microsoft a introduzir uma opção para organizações chamada “Reject Direct Send”, que visa combater diretamente esse problema.
Alternativamente, clientes também podem aplicar políticas personalizadas de marcação de cabeçalhos e quarentena para detectar emails que alegam ser comunicação interna, mas que na verdade não são.
Esses avanços vêm acompanhados de um aumento no uso de técnicas de evasão do lado do cliente nas páginas de phishing para se manterem à frente tanto de sistemas automatizados de detecção quanto de analistas humanos.
Isso inclui bloqueios baseados em JavaScript, templates Browser-in-the-Browser (BitB) e hospedagem das páginas dentro de ambientes desktop virtuais usando noVNC.
“Um método notável em crescimento é o uso de scripts anti-análise baseados em JavaScript; pequenos, mas eficazes pedaços de código embutidos em páginas de phishing, sites falsos de suporte técnico e redirecionamentos maliciosos”, afirmou a Doppel.
Assim que qualquer atividade suspeita é identificada, o site redireciona imediatamente o usuário para uma página em branco ou desabilita a interação, bloqueando o acesso antes que uma inspeção mais profunda possa ocorrer.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...