网络安全研究人员发现针对Windows设备的钓鱼邮件数量激增。据Fortinet旗下FortiGuard实验室监测，黑客正在利用UpCrypter加载器展开攻击活动，该工具可安装多种远程访问工具（RAT），使攻击者能长期维持对受感染机器的控制。

这些钓鱼邮件伪装成未接语音邮件或采购订单。点击附件的受害者将被重定向至精心设计的虚假网站，这些网站通常使用企业标识增强可信度。Fortinet表示，这些钓鱼页面会诱导用户下载包含高度伪装JavaScript投放器的ZIP压缩包。一旦打开，脚本将在后台触发PowerShell命令，连接攻击者控制的服务器进行下一阶段攻击。

FortiGuard实验室研究员Cara Lin指出：”这些页面专门诱骗收件人下载作为UpCrypter投放器的JavaScript文件，构成精密攻击链的初始环节。”

UpCrypter攻击链深度解析：反检测机制与三重远程控制工具协同作案

安全研究人员揭示了UpCrypter在攻击链中的精密运作机制。一旦执行，该加载器会立即扫描系统环境，检测是否处于沙箱分析或取证调查中。若发现监控迹象，将立即触发重启中断调查。

当确认环境安全后，恶意软件开始下载并执行后续载荷。攻击者采用隐写术将文件隐藏于普通图片中，有效规避杀毒软件检测。最终部署的恶意工具包括：

PureHVNC：实现隐藏式远程桌面访问；

DCRat（DarkCrystal RAT）：具备间谍功能和数据窃取能力的多用途工具；

Babylon RAT：支持攻击者对设备进行全面控制。

全球攻击态势与行业影响

Fortinet研究人员指出，攻击者采用多重技术伪装恶意代码：包括字符串混淆、通过注册表修改实现持久化、以及内存运行代码避免磁盘留痕等手法，形成高度隐匿的攻击体系。

此次网络钓鱼活动自2025年8月初持续活跃，已呈现国际化传播趋势。监测数据显示奥地利、加拿大、埃及等地攻击活动最为密集。

受冲击最严重的行业包括：制造业、科技行业、医疗机构、建筑行业、零售与酒店业，Fortinet研究人员指出，短短两周内检测到的攻击数量实现翻倍增长，印证了该攻击行动的快速扩张态势。此次攻击不仅窃取用户名和密码，更通过多阶段恶意软件链实现在企业系统中长期隐蔽驻留。

正如Fortinet所强调：”用户和组织应高度重视此威胁，采用强化邮件过滤器，并确保员工接受过识别和规避此类攻击的培训。”