Globale Phishing-Kampagne mit UpCrypter: Gefälschte Voicemail-Mails verbreiten Malware

by Heike Vollmers in Cybersecurity

Im August 2025 wurde eine neue, gefährliche Phishing-Kampagne entdeckt, die Unternehmen weltweit ins Visier nimmt. Cyberkriminelle nutzen dabei gefälschte Voicemail- und Bestell-E-Mails, um den Malware-Loader UpCrypter zu verbreiten. Das Ziel: Installation von Remote Access Trojanern (RATs), mit denen Angreifer Zugriff auf Unternehmensnetzwerke erhalten.

In diesem Artikel erfährst du, wie die Attacke funktioniert, welche Branchen betroffen sind und warum UpCrypter so schwer zu stoppen ist.

Was ist UpCrypter?

UpCrypter ist ein hochentwickeltes Malware-Loader-Tool, das speziell dafür entwickelt wurde, Schadsoftware unauffällig in Zielsysteme einzuschleusen. Besonders perfide: Die Malware bleibt oft ausschließlich im Speicher aktiv, ohne Spuren auf der Festplatte zu hinterlassen. Dadurch wird eine forensische Analyse extrem erschwert.

Zu den nachgeladenen Schadprogrammen gehören unter anderem:

  • PureHVNC
  • DCRat (DarkCrystal RAT)
  • Babylon RAT

Alle drei Tools ermöglichen Angreifern eine umfassende Fernsteuerung der kompromittierten Systeme.

So funktioniert die Phishing-Kampagne

Die Infektionskette ist mehrstufig und clever aufgebaut:

  1. Phishing-Mail: Opfer erhalten täuschend echt aussehende E-Mails, die als Voicemail- oder Bestellbenachrichtigungen getarnt sind.
  2. Gefälschte Landing Page: Ein Link in der E-Mail führt auf eine Webseite, die Logos und Domain-Banner des Unternehmens anzeigt – scheinbar seriös, tatsächlich aber eine Fälschung.
  3. Download von Schadcode: Nutzer werden dazu verleitet, eine JavaScript-Datei herunterzuladen, die als Dropper für UpCrypter dient.
  4. Anti-Analyse-Checks: Bevor UpCrypter aktiv wird, prüft er das System auf Sandboxes, Debugger und virtuelle Maschinen, um einer Erkennung zu entgehen.
  5. Nachladen der Malware: Im Hintergrund werden RATs geladen und aktiviert, wodurch Angreifer vollständigen Zugriff auf das System erhalten.

Besonders gefährlich ist die MSIL-Version des Loaders: Sie kombiniert PowerShell-Skripte, DLLs und Payloads im Speicher – eine ausgefeilte Technik, die traditionelle Sicherheitslösungen oft umgeht.

Betroffene Branchen und Länder

Die Kampagne ist breit angelegt und trifft verschiedene Wirtschaftsbereiche:

  • Fertigung
  • Technologie
  • Gesundheitswesen
  • Bauwirtschaft
  • Einzelhandel & Gastgewerbe

Besonders betroffen sind Länder wie Österreich, Belarus, Kanada, Ägypten, Indien und Pakistan. Laut Fortinet hat sich die Erkennungsrate dieser Kampagne innerhalb von nur zwei Wochen mehr als verdoppelt – ein klares Indiz für die schnelle Ausbreitung.

Warum ist UpCrypter so gefährlich?

  • Stealth-Charakter: Ausführung nur im Speicher erschwert Erkennung.
  • Anti-Analyse-Techniken: Verhindern Untersuchungen durch Security-Tools.
  • Personalisierte Phishing-Seiten: Durch Domain-Spoofing wirken die Angriffe besonders glaubwürdig.
  • Modularer Aufbau: Mehrere Schadprogramme können flexibel nachgeladen werden.

Weitere Phishing-Trends 2025

Die UpCrypter-Kampagne ist kein Einzelfall. 2025 wurden ähnliche Kampagnen verstärkt beobachtet:

  • Missbrauch legitimer Plattformen (LOTS) wie Microsoft 365, SendGrid, Discord CDN oder Vercel zur Verteilung von Phishing-Seiten.
  • Angriffe über Google Classroom, die über 115.000 E-Mails an tausende Organisationen verschickten.
  • Clientseitige Evasionstechniken, wie JavaScript-Blocker oder Browser-in-the-Browser-Phishing.

Schutzmaßnahmen für Unternehmen

Um sich gegen Kampagnen wie diese zu schützen, sollten Unternehmen:

  • Mitarbeiter schulen, um Phishing-Mails schneller zu erkennen.
  • Erweiterte E-Mail-Filter implementieren, die Links und Anhänge prüfen.
  • Endpoint Detection & Response (EDR) einsetzen, um speicherresidenten Malware-Aktivitäten zu entdecken.
  • Zero-Trust-Strategien einführen, um das Risiko von Kompromittierungen zu reduzieren.

Die globale Phishing-Kampagne mit UpCrypter zeigt, wie ausgeklügelt und anpassungsfähig moderne Cyberangriffe geworden sind. Mit täuschend echten Voicemail-Mails, Anti-Analyse-Techniken und im Speicher laufender Malware haben Angreifer ein Arsenal entwickelt, das klassische Sicherheitsmaßnahmen umgeht.

Nur durch eine Kombination aus technologischen Schutzmaßnahmen, Awareness-Schulung und kontinuierlicher Überwachung können Unternehmen ihre Angriffsfläche reduzieren und sich effektiv vor dieser wachsenden Bedrohung schützen.

Wir unterstützen dich!

Ob Awareness-Programme, Zero-Trust-Strategien, Schulungen, Beratung oder Vorträge – wir helfen Unternehmen, ihre Cyber-Resilienz zu stärken. Kontaktiere uns und erfahre, wie du dein Team fit für aktuelle Bedrohungen machen kannst.

E-Mail: hallo@teufelswerk.net, Tel. +49 4762 3639555
Signal: @cyberhelden.42, Signal-Link: https://signal.me/#u/cyberhelden.42

Abonniere jetzt unsere Cyber-News!

Ca. alle 4 Wochen erhältst du wertvolle Insights, Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, Phishing-Methoden, Betrugsmaschen und Social-Engineering, ganz gleich ob du Anfänger oder Fortgeschrittener bist.

Newsletter abonnieren

Hat dir dieser Beitrag gefallen?

Ja
Nein
Danke für dein Feedback!

Ähnliche Beiträge

Verdächtige E-Mails erkennen: So entlarvst du raffinierte...
Immer wieder landen täuschend echt aussehende E-Mails in unseren Postfächern....
>>>
CybersecurityCybersecurity
Sicherheits-Upgrade für Microsoft Teams: Mehr Schutz vor...
Microsoft Teams bekommt ein deutliches Sicherheits-Upgrade: Ab September 2025 wirst...
>>>
CybersicherheitCybersicherheit
Passkeys: Was sie wirklich leisten und wo...
Passkeys (FIDO/WebAuthn) werden als die nächste große Verbesserung gegenüber Passwörtern...
>>>
Tagged with: , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert