FortiGuard Labs警告称，全球范围内的钓鱼活动可能会传播UpCrypter恶意软件，使黑客能够完全控制受感染的Windows系统，并引发严重的安全隐患。

Fortinet旗下研究部门FortiGuard Labs发现了一个高度危险的网络钓鱼活动，并发布了一项重要的网络安全警报。该研究结果已于2025年8月25日发布前分享。该攻击旨在诱骗Microsoft Windows用户在不知情的情况下安装强大的恶意软件，从而使黑客完全控制他们的计算机。

FortiGuard Labs的遥测显示，此次攻击活动正在全球范围内开展，并且发展迅速，在短短两周内检测数量翻了一番，影响到了制造业、科技业、医疗保健业、建筑业、零售业和酒店业等多个行业。

研究人员观察到，这不仅仅是一个简单的窃取登录信息的骗局，而是一个全面的攻击过程，可以在公司网络内部秘密安装有害程序，使攻击者能够长期保持控制。

攻击始于一封电子邮件，该邮件可能伪装成“未接电话”或“采购订单”。两封邮件都包含一个伪装成HTML附件的恶意文件，例如名为“VN0001210000200.html”或“採購訂單.html”的文件。

打开这些文件后，它会将用户重定向到一个虚假但非常令人信服的网站，该网站甚至会显示受害者自己的公司电子邮件域和徽标，以显得合法。

这个虚假页面会强制受害者点击“下载”按钮下载恶意文件，随后会分发一个有害的JavaScript文件。如攻击流程图所示，该文件会在用户不知情的情况下秘密下载并安装下一阶段的恶意软件。

根据该公司的博客文章，下载的JavaScript文件是UpCrypter的植入程序，UpCrypter是由Pjoao1578开发的恶意软件。其目的是秘密安装更危险的工具。研究人员发现，UpCrypter被用于部署不同类型的远程访问工具（RAT），这些程序可让攻击者远程控制受感染的计算机。此次攻击活动中识别的具体RAT包括DCRat、PureHVNC和Babylon RAT。

UpCrypter的设计旨在实现高度隐蔽性，它通过复杂的检查来检测自身是否正在被Wireshark或ANY.RUN等安全工具分析，或是否在虚拟环境中运行。一旦检测到任何异常，它可能会停止运行，甚至强制重启系统以避免被发现。该恶意软件甚至可以将其恶意代码隐藏在JPG图像文件中。为了确保其持续运行，它会在Windows注册表中添加一个注册表项，这对于安全性至关重要。

鉴于此威胁的严重性，FortiGuard实验室敦促个人和公司认真对待。组织应使用强大的电子邮件过滤器，并确保其员工接受过良好的培训，以识别和避免此类攻击。

Bambenek Consulting总裁John Bambenek表示： “各种虚假语音邮件和虚假发票钓鱼诱饵仍然受到攻击者的青睐，仅仅是因为它们有效。” “然而，在这种情况下，寻找打开电子邮件中​​HTML附件并导致使用PowerShell的事件链，可以轻松快速地检测（并有望阻止）此事件链。并非每个用户都需要访问PowerShell，尤其是在事件链从Outlook.exe开始时，”他警告道。