Neue Phishing-Kampagne nutzt UpCrypter in fingierten Voicemails : Raffinierte Täuschung liefert RAT-Payloads an Unternehmen weltweit
Immer ausgefeiltere Phishing-Kampagnen bedrohen Unternehmen aus allen Branchen. Experten der Fortinet FortiGuard Labs haben eine neue Angriffswelle entdeckt, die mit fingierten Sprachnachrichten und Bestell-E-Mails den Malware-Loader UpCrypter verteilt. Ziel ist es, hochentwickelte Remote-Access-Trojaner einzuschleusen und so die vollständige Kontrolle über Systeme zu erlangen.
Die Infektionskette startet mit sorgfältig gebauten E-Mails, die scheinbar alltägliche Geschäftsprozesse imitieren. Empfänger erhalten Nachrichten, die angebliche Sprachaufzeichnungen oder Kaufbelege enthalten. Ein Klick auf den enthaltenen Link führt zu täuschend echt gestalteten Webseiten, die Logos und Domainnamen des Zielunternehmens einbinden. Dadurch wirken die Seiten glaubwürdig und animieren zum Herunterladen vermeintlich legitimer Dateien.
Das Download-Paket besteht aus einem ZIP-Archiv mit einem verschleierten JavaScript. Bevor das Skript die eigentliche Schadsoftware nachlädt, prüft es gezielt, ob eine Internetverbindung besteht und ob Analysewerkzeuge, Sandboxen oder Debugger aktiv sind. Erst nach diesen Anti-Analyse-Checks wird die nächste Stufe der Infektion eingeleitet.
UpCrypter als vielseitiger Loader
UpCrypter ist ein flexibel einsetzbarer Malware-Loader, der sowohl in einer JavaScript- als auch in einer MSIL-Variante auftritt. Seine Funktionen reichen von komplexer Verschleierung über Anti-Virtualisierungs-Techniken bis hin zur Nutzung von Steganographie, also dem unauffälligen Verbergen von Schadcode in Bilddateien.
Der Loader lädt verschiedene Schadprogramme nach, darunter bekannte Remote-Access-Trojaner wie PureHVNC RAT, DCRat (auch bekannt als DarkCrystal RAT) und Babylon RAT. Diese Werkzeuge eröffnen Angreifern die Möglichkeit, kompromittierte Systeme vollständig fernzusteuern, Daten zu exfiltrieren und Netzwerke dauerhaft zu infiltrieren. Besonders gefährlich ist, dass der Schadcode im Speicher ausgeführt wird, ohne auf die Festplatte geschrieben zu werden – eine Technik, die forensische Spuren minimiert und die Erkennung erheblich erschwert.
Globale Angriffswelle seit August 2025
Die aktuelle Kampagne läuft seit Anfang August 2025 und richtet sich gegen eine Vielzahl von Branchen. Betroffen sind Fertigungsunternehmen, Technologieanbieter, Krankenhäuser, Baufirmen sowie der Einzelhandel und die Hotellerie. Laut den Forschern wurden besonders viele Infektionen in Österreich, Belarus, Kanada, Ägypten, Indien und Pakistan registriert, die Angriffe sind jedoch weltweit aktiv.
Die Methode kombiniert realistisch wirkende E-Mail-Köder, verschleierte Skripte und mehrstufige Ladeprozesse. Diese abgestufte Komplexität ermöglicht es den Tätern, bestehende Sicherheitsmechanismen zu umgehen und eine langfristige Präsenz im Netzwerk ihrer Opfer aufzubauen.
Missbrauch vertrauenswürdiger Dienste
Die Kampagne reiht sich in eine größere Entwicklung ein, die Sicherheitsforscher als „Living off Trusted Sites“ (LOTS) bezeichnen. Dabei missbrauchen Angreifer seriöse Plattformen, um Schutzmechanismen zu umgehen. Check Point dokumentierte kürzlich einen massiven Phishing-Angriff über Google Classroom, bei dem innerhalb weniger Tage mehr als 115.000 E-Mails an rund 13.500 Organisationen verschickt wurden.
Durch die Nutzung solcher Plattformen umgehen Angreifer zentrale Authentifizierungsmechanismen wie SPF, DKIM und DMARC. Die Nachrichten erscheinen vertrauenswürdig und landen direkt im Posteingang. Im Fall von Google Classroom missbrauchten die Angreifer das Vertrauen der Empfänger, indem sie gefälschte Einladungen verschickten. Darin fanden sich Angebote, die nichts mit dem eigentlichen Kontext zu tun hatten – etwa für den Weiterverkauf von Produkten oder für Suchmaschinenoptimierung. In jeder E-Mail wurden die Empfänger aufgefordert, die Betrüger über eine WhatsApp-Nummer zu kontaktieren. Diese Masche ist ein typisches Vorgehen bei Betrugsversuchen.“
Neben Google Classroom werden auch Microsoft 365 Direct Send, OneNote, Discord CDN, SendGrid, Zoom, ClickFunnels, Jotform sowie KI-basierte Website-Builder wie Vercel v0 oder Flazio für diese Zwecke missbraucht.
„Die Angreifer erbeuteten über eine Phishing-Mail die Microsoft-365-Zugangsdaten eines Mitarbeiters. Anschließend legten sie in dessen OneDrive-Ordner ‚Dokumente‘ eine OneNote-Datei an, in die sie einen Link für die nächste Phishing-Stufe einfügten“, heißt es in einem Bericht von Varonis.
Weil Angreifer den Dienst Direct Send für solche Zwecke missbrauchen, hat Microsoft die Funktion „Reject Direct Send“ eingeführt. Damit können Unternehmen solche Nachrichten direkt blockieren. Alternativ lassen sich eigene Regeln mit speziellen Kopfzeilen und Quarantäne-Einstellungen einsetzen, um gefälschte interne E-Mails zu erkennen.
Evasion-Techniken auf der Client-Seite
„Angreifer nutzen bei Phishing-Seiten zunehmend Tricks auf der Nutzerseite, um unentdeckt zu bleiben – sowohl vor automatischen Sicherheitssystemen als auch vor Analysten. Dazu gehören JavaScript-Sperren, gefälschte Browser-in-Browser-Fenster (BitB) oder das Hosten der Seiten in virtuellen Desktop-Umgebungen mit noVNC.
„Eine Methode, die immer häufiger eingesetzt wird, sind kleine JavaScript-Skripte zur Anti-Analyse“, erklärt Doppel. „Diese winzigen, aber effektiven Codeschnipsel stecken in Phishing-Seiten, falschen Support-Seiten oder schadhaften Weiterleitungen. Sobald ein Prüfversuch erkannt wird, leitet die Seite sofort auf eine leere Seite um oder blockiert jede weitere Interaktion – und verhindert so eine genauere Untersuchung.“
Fazit
UpCrypter verdeutlicht, wie sich Phishing zu einem zentralen Vektor für komplexe Malware entwickelt hat. Die Kombination aus Täuschung, Anti-Analyse-Techniken und der Auslieferung unterschiedlicher Remote-Access-Trojaner schafft eine flexible, schwer zu stoppende Angriffsinfrastruktur. Für Unternehmen heißt das: Phishing-Mails dürfen nicht als triviale Bedrohung abgetan werden, sondern erfordern höchste Aufmerksamkeit, robuste Schutzmechanismen und eine konsequente Reaktionsfähigkeit.