Sahte Sesli Posta E-postaları Windows'a UpCrypter Kötü Amaçlı Yazılımını Yükler

FortiGuard Labs, bilgisayar korsanlarına virüslü Windows sistemleri üzerinde tam kontrol sağlayan ve ciddi güvenlik endişelerine yol açan UpCrypter kötü amaçlı yazılımını dağıtan küresel bir kimlik avı kampanyası konusunda uyarıyor.

Fortinet'in araştırma bölümü FortiGuard Labs, son derece tehlikeli bir kimlik avı saldırısının keşfinin ardından yeni ve önemli bir siber güvenlik uyarısı yayınladı. Bu araştırmanın bulguları, 25 Ağustos 2025'teki yayınından önce Hackread.com ile paylaşıldı. Saldırı, Microsoft Windows kullanıcılarını, bilgisayar korsanlarına bilgisayarları üzerinde tam kontrol sağlayabilecek güçlü bir kötü amaçlı yazılımı bilmeden yüklemeleri için kandırmayı amaçlıyor.

FortiGuard Labs'ın telemetri verilerinin küresel ölçekte çalıştığını gösterdiği kampanya hızla büyüdü ve tespitler yalnızca iki hafta içinde iki katına çıkarak imalat, teknoloji, sağlık, inşaat, perakende ve konaklama gibi birçok sektörü etkiledi.

Araştırmacılar, bunun basit bir giriş bilgilerini çalma dolandırıcılığı olmadığını, bir şirketin ağına gizlice zararlı bir program yükleyebilen ve saldırganların uzun süre kontrolü elinde tutmasını sağlayan tam ölçekli bir saldırı süreci olduğunu gözlemlediler.

Saldırı, "Cevapsız Telefon Araması" veya "satın alma siparişi" gibi görünen bir e-postayla başlıyor. Her iki e-posta da, örneğin " VN0001210000200.html " veya "採購訂單.html " adlı, HTML eki olarak gizlenmiş kötü amaçlı bir dosya içeriyor.

Bu dosyalar açıldığında kullanıcıyı sahte ama çok inandırıcı bir web sitesine yönlendiriyor, hatta kurbanın kendi şirket e-posta alan adını ve logosunu göstererek meşru bir izlenim yaratıyor.

Bu sahte sayfa, kurbanı "indir" düğmesine tıklayarak kötü amaçlı bir dosyayı indirmeye zorlar ve ardından zararlı bir JavaScript dosyası gönderilir. Saldırı akış şemasında gösterildiği gibi, bu dosya daha sonra kullanıcının bilgisi olmadan kötü amaçlı yazılımın bir sonraki aşamasını gizlice indirip yükler.

Şirketin blog yazısına göre, indirilen JavaScript dosyası, Pjoao1578 tarafından geliştirilen bir kötü amaçlı yazılım olan UpCrypter için bir dropper . Amacı, daha tehlikeli araçları gizlice yüklemek. Araştırmacılar, UpCrypter'ın, bir saldırganın enfekte olmuş bir bilgisayarı uzaktan kontrol etmesini sağlayan programlar olan farklı türde Uzaktan Erişim Araçları (RAT) dağıtmak için kullanıldığını keşfetti. Bu kampanyada tespit edilen belirli RAT'lar DCRat , PureHVNC ve Babylon RAT idi.

UpCrypter, Wireshark veya ANY.RUN gibi güvenlik araçları tarafından analiz edilip edilmediğini veya sanal bir ortamda çalışıp çalışmadığını kontrol etmek için gelişmiş kontroller kullanarak son derece gizli olacak şekilde tasarlanmıştır. Herhangi bir tespitte bulunursa, yakalanmamak için eylemlerini durdurabilir veya hatta sistemin yeniden başlatılmasını zorlayabilir. Kötü amaçlı yazılım, kötü amaçlı kodunu bir JPG resim dosyasının içine bile gizleyebilir. Çalışmaya devam etmesini sağlamak için, güvenlik açısından çok önemli bir ayrıntı olan Windows kayıt defterine bir anahtar ekler.

Bu tehdidin ciddiyeti göz önüne alındığında, FortiGuard Labs, bireyleri ve şirketleri bunu ciddiye almaya çağırıyor. Kuruluşlar, güçlü e-posta filtreleri kullanmalı ve çalışanlarının bu tür saldırıları tespit edip önlemek için iyi eğitimli olduğundan emin olmalıdır.

Bambenek Consulting Başkanı John Bambenek , " Çeşitli sahte sesli mesaj ve sahte fatura kimlik avı tuzakları, sadece işe yaradıkları için saldırganlar arasında popülerliğini koruyor, " dedi. "Ancak bu durumda, e-postada bir HTML eki açmanın PowerShell kullanımına yol açan olaylar zincirini aramak, bu olaylar zincirini tespit etmek (ve umarız önlemek) için kolay ve hızlı bir kazanç sağlar. Her kullanıcının PowerShell'e erişmesi gerekmez ve özellikle de zincir Outlook.exe başlıyorsa, " diye uyardı.