Negli ultimi mesi, il panorama della sicurezza informatica è stato scosso da una sofisticata campagna di phishing che sfrutta email di falsi messaggi vocali e ordini di acquisto per distribuire un malware loader chiamato UpCrypter. Questo attacco si basa su email meticolosamente realizzate che contengono link verso pagine di phishing estremamente convincenti. Queste pagine ingannano gli utenti inducendoli a scaricare file JavaScript malevoli, che agiscono come dropper del malware stesso.

Principali settori e paesi coinvolti

La campagna ha preso di mira da agosto 2025 soprattutto aziende dei settori manifatturiero, tecnologico, sanitario, edilizio e retail/hospitality, coinvolgendo paesi come Austria, Bielorussia, Canada, Egitto, India e Pakistan. UpCrypter funge da veicolo per l’installazione di vari RAT (Remote Access Tool), tra cui PureHVNC RAT, DCRat (conosciuto anche come DarkCrystal RAT) e Babylon RAT, tutti strumenti che consentono ai cybercriminali di assumere il pieno controllo dei computer compromessi.

Catena di infezione

La catena di infezione parte da un’email di phishing che sfrutta la tematica delle caselle vocali o degli acquisti, convincendo la vittima a cliccare su un link che porta a una finta pagina di atterraggio. Qui viene proposto il download di un messaggio vocale o di un documento PDF. Per rendere la truffa ancora più credibile, la pagina visualizza il dominio e il logo dell’azienda della vittima, aumentando così il livello di fiducia e la probabilità di successo dell’attacco.

Caratteristiche tecniche del malware loader

Il file scaricato è un archivio ZIP contenente un file JavaScript offuscato, che si collega a un server esterno per scaricare la fase successiva del malware solo dopo aver verificato la connessione internet e controllato l’assenza di strumenti di analisi forense o ambienti sandbox. Il loader recupera quindi il payload finale, che può essere nascosto anche tramite tecniche di steganografia all’interno di immagini apparentemente innocue.

Oltre alla versione JavaScript, UpCrypter viene distribuito anche come loader MSIL, capace di svolgere controlli anti-analisi e anti-macchina virtuale prima di scaricare script PowerShell, DLL e il payload principale. Tutto ciò avviene senza scrivere file direttamente sul disco, riducendo così le tracce lasciate e rendendo difficile il rilevamento.

Tecniche di evasione e abusi di servizi legittimi

Questa campagna si inserisce in una tendenza crescente che vede i cybercriminali abusare di servizi legittimi come Google Classroom, Microsoft 365, OneNote, SendGrid e Discord CDN, sfruttando la fiducia degli utenti verso queste piattaforme per eludere i controlli di sicurezza. Inoltre, vengono sempre più utilizzate tecniche di evasione basate su JavaScript, come script anti-analisi e template Browser-in-the-Browser.