フィッシングキャンペーン、偽のボイスメールメールでUpCrypterを利用しRATペイロードを配信

サイバーセキュリティ研究者は、偽のボイスメールや発注書を利用してUpCrypterと呼ばれるマルウェアローダーを配信する新たなフィッシングキャンペーンを警告しています。

このキャンペーンは「巧妙に作成されたメールを利用して、信憑性の高いフィッシングページへと誘導する悪意あるURLを配信している」とFortinet FortiGuard Labsの研究者Cara Linが述べています。「これらのページは、受信者にJavaScriptファイルをダウンロードさせるよう仕向けており、そのファイルがUpCrypterのドロッパーとして機能します。」

このマルウェアを拡散する攻撃は、2025年8月初旬から主に製造、テクノロジー、医療、建設、小売・ホスピタリティ分野を世界中で標的としています。大多数の感染はオーストリア、ベラルーシ、カナダ、エジプト、インド、パキスタンなどで観測されています。

UpCrypterは、PureHVNC RAT、DCRat（別名DarkCrystal RAT）、Babylon RATなど、さまざまなリモートアクセスツール（RAT）の媒介役として機能し、攻撃者が侵害されたホストを完全に制御できるようにします。

感染チェーンの出発点は、ボイスメールメッセージや購入に関連するテーマを使ったフィッシングメールで、受信者を偽のランディングページへ誘導し、そこでボイスメッセージやPDF文書のダウンロードを促します。

「誘導ページは、被害者のドメイン文字列をバナーに表示するだけでなく、ページ内にそのドメインのロゴを取得・埋め込むことで信憑性を高めている」とFortinetは述べています。「主な目的は悪意あるダウンロードを配信することです。」

ダウンロードされるペイロードは、難読化されたJavaScriptファイルを含むZIPアーカイブであり、その後、外部サーバーに接続して次の段階のマルウェアを取得します。ただし、インターネット接続を確認し、フォレンジックツールやデバッガ、サンドボックス環境が稼働していないかスキャンした後にのみ実行されます。

ローダーはさらに同じサーバーに接続し、最終ペイロードをプレーンテキストまたは無害に見える画像内に埋め込む（ステガノグラフィーと呼ばれる）手法で取得します。

Fortinetによると、UpCrypterはMSIL（Microsoft Intermediate Language）ローダーとしても配布されており、JavaScript版と同様にアンチ解析・アンチ仮想マシンチェックを行った後、難読化されたPowerShellスクリプト、DLL、メインペイロードの3つのペイロードをダウンロードします。

攻撃の最終段階では、スクリプトがDLLローダーとペイロードのデータを実行時に埋め込むことで、マルウェアをファイルシステムに書き込まずに実行できるようになります。この手法はフォレンジック痕跡を最小限に抑え、マルウェアが検知されにくくなる利点もあります。

「積極的にメンテナンスされているローダー、階層的な難読化、多様なRAT配信の組み合わせは、防御を回避し、さまざまな環境で持続性を維持できる適応性の高い脅威配信エコシステムを示しています」とLin氏は述べています。

この発表は、Check PointがGoogle Classroomを悪用し、2025年8月6日から12日の間に13,500の組織を標的に115,000通以上のフィッシングメールを配信した大規模なフィッシングキャンペーンを詳細に報告したタイミングで行われました。攻撃はヨーロッパ、北米、中東、アジアの組織を標的としています。

「攻撃者は、製品再販の提案からSEOサービスまで、無関係な商業オファーを含む偽の招待状を送信することで、この信頼を悪用しました」と同社は述べています。「各メールは受信者にWhatsAppの電話番号で詐欺師と連絡を取るよう誘導しており、これは詐欺スキームによく使われる手法です。」

この攻撃は、Google Classroomのインフラの信頼性と評判を利用して、SPF、DKIM、DMARCなどの主要なメール認証プロトコルを回避し、フィッシングメールをユーザーの受信箱に届けるため、セキュリティシステムをすり抜けます。

これらのキャンペーンは、Microsoft 365 Direct SendやOneNoteなどの正規サービス、さらにはAI搭載の無料ウェブサイトビルダーであるVercelやFlazio、Discord CDN、SendGrid、Zoom、ClickFunnels、Jotform、Xのt[.]coリンク短縮サービスなどを悪用する、いわゆるliving-off-trusted-sites（LOTS）と呼ばれる手法の一環です。

「攻撃者はフィッシング攻撃で組織内の1ユーザーのM365認証情報を入手した後、その侵害されたユーザーのOneDrive内の個人用DocumentsフォルダーにOneNoteファイルを作成し、次のフィッシング段階への誘導URLを埋め込みました」とVaronisは先月公開したレポートで述べています。

Direct Sendの悪用を受けて、Microsoftは「Reject Direct Send」というオプションを導入し、問題に直接対応できるようにしました。あるいは、カスタムヘッダースタンピングや隔離ポリシーを適用して、実際には内部通信でないメールを検出することも可能です。

こうした動向に加え、攻撃者はフィッシングページでクライアントサイドの回避技術をますます利用し、自動検知システムや人間の分析者を出し抜こうとしています。これには、JavaScriptベースのブロッキング、Browser-in-the-Browser（BitB）テンプレート、noVNCを使った仮想デスクトップ環境内でのページホスティングなどが含まれます。

「特に人気が高まっている手法として、JavaScriptベースのアンチ解析スクリプトの利用が挙げられます。これは、フィッシングページや偽のテクニカルサポートサイト、悪意あるリダイレクトに埋め込まれた、小規模ながら効果的なコードです」とDoppelは述べています。「こうした活動が検知されると、サイトは即座にユーザーを空白ページにリダイレクトしたり、さらなる操作を無効化したりして、詳細な調査が行われる前にアクセスを遮断します。」