От JavaScript до стеганографии: киберпреступники разработали «невидимую» систему доставки вредоносного ПО

Доверие к брендам стало ключом к обходу защиты

В августе 2025 года Fortinet FortiGuard Labs выявили масштабную фишинговую кампанию, распространяющую загрузчик UpCrypter через поддельные письма о голосовых сообщениях и заказах. Ссылки в таких письмах ведут на фальшивые сайты, замаскированные под легитимные страницы компаний: они автоматически подставляют домен жертвы и логотип её организации, повышая доверие.

На сайте предлагается скачать ZIP-архив с зашифрованным JavaScript-файлом. После запуска скрипт проверяет соединение, ищет средства отладки и песочницы, а затем загружает следующий этап атаки. Финальный модуль может быть передан в открытом виде или скрыт в изображении с помощью стеганографии. Помимо JavaScript-версии, обнаружен и вариант на MSIL, который дополнительно подгружает PowerShell-скрипт, DLL и исполняемый модуль, объединяя их на лету без записи на диск.

Цель — установка RAT-инструментов (PureHVNC, DCRat, Babylon RAT), позволяющих полностью контролировать заражённое устройство.

Fortinet отмечает: многоуровневая маскировка и гибкая архитектура делают кампанию крайне сложной для обнаружения, а привычные каналы коммуникации становятся всё более удобным оружием для киберпреступников.