Siber güvenlik uzmanlari, Microsoft Windows kullanicilarini hedef alan ve UpCrypter kotu amacli yazilimini yayginlastiran global bir oltalama saldirisi konusunda uyariyor. Saldiri, sahte sesli mesaj veya siparis formu gibi gorunen oltalama e-postaları yoluyla gerceklesiyor. Bu e-postalar kullanicilari, sistemleri uzaktan kontrol etmelerine olanak taniyan cesitli uzak erisim araclarini (RAT) yuklemek icin tasarlanmis UpCrypter’i indirmeye tesvik ediyor.
Fortinet’in FortiGuard Labs arastirmasina gore, kurbanlar ekleri tikladiklarinda sahte web sitelerine yonlendiriliyor. Bu siteler, guveni artirmak amaciyla sirket logolarini icerecek sekilde inandirici gorunmek uzere tasarlanmis durumda. Kullanicilardan, agir sekilde gizlenmis bir JavaScript dropper’i iceren bir ZIP dosyasi indirmeleri isteniyor.
Bu JavaScript dosyasi acildiginda, arka planda PowerShell komutlarini tetikleyerek saldirgan kontrolundeki sunuculara baglanti kuruyor. Fortinet FortiGuard Labs arastirmacisi Cara Lin’e gore, bu sayfalar alicilari UpCrypter icin dropper gorevi goren JavaScript dosyalarini indirmeye tesvik etmek amaciyla tasarlandi.
UpCrypter, calistirildiktan sonra sistemde sandbox veya adli analiz araclari olup olmadigini tarar. Eger bu tur bir izleme tespit edilirse, yukleyici arastirmayi engellemek icin sistemi yeniden baslatir. Herhangi bir engel bulunmazsa, kotu amacli yazilim daha fazla yuk indirmeye ve calistirmaya devam eder. Bazi durumlarda, saldirganlar bu dosyalari antivirus yazilimlarinin tespitinden kacinmak icin steganografi yoluyla resimlerin icine gizler.
Saldiri sonucunda asagidaki kotu amacli yazilimlar sisteme yuklenir:
- PureHVNC: Gizli uzak masaustu erisimi saglar.
- DCRat (DarkCrystal RAT): Casusluk ve veri hirsizligi icin cok fonksiyonlu bir aractir.
- Babylon RAT: Saldirganlarin cihazi tamamen kontrol etmesini saglar.
Fortinet arastirmacilari, saldirganlarin kotu amacli kodu gizlemek icin cesitli yontemler kullandigini belirtiyor. Bunlar arasinda string karartma, kalicilik icin kayit defteri ayarlarini degistirme ve diskte iz birakmamak icin bellek icinde kod calistirma yer aliyor.
Oltalama kampanyasi Agustos 2025’in basindan beri aktif durumda ve Avusturya, Belarus, Kanada, Misir, Hindistan ve Pakistan gibi ulkelerde yuksek aktivite gozlemlenmistir. En cok etkilenen sektorler arasinda uretim, teknoloji, saglik, insaat ve perakende/konaklama bulunuyor.
Fortinet arastirmacilari, tespitlerin sadece iki hafta icinde ikiye katlandigini ve operasyonun hizla genisledigini vurguluyor. Bu saldiri, sadece kullanici adi ve sifre calmakla kalmayip, kurumsal sistemlerde uzun sure gizli kalmak uzere tasarlanmis bir kotu amacli yazilim zinciri yayiyor.
Fortinet’in onerisi su sekilde: “Kullanicilar ve kuruluslar bu tehdidi ciddiye almali, guclu e-posta filtreleri kullanmali ve personelin bu tur saldirilari tanima ve bunlardan kacinma konusunda egitilmesini saglamalidir.”



