Pesquisadores de cybersecurity estão chamando atenção para uma sofisticada campanha de social engineering que tem como alvo empresas de manufatura críticas para a cadeia de suprimentos, utilizando um malware em memória (in-memory) chamado MixShell.
A atividade foi batizada de ZipLine pela Check Point Research.
“Em vez de enviar phishing emails não solicitados, os atacantes iniciam o contato através do formulário público ‘Contact Us’ do site da empresa, enganando funcionários para começarem a conversa”, afirmou a empresa em comunicado compartilhado com o The Hacker News.
“O que segue são semanas de trocas profissionais e críveis, muitas vezes seladas com NDAs falsos, antes da entrega de um arquivo ZIP malicioso contendo o MixShell, um malware furtivo em memória.”
Os ataques abrangem diversas organizações de múltiplos setores e localizações geográficas, com foco em entidades baseadas nos EUA.
Os principais alvos incluem empresas de manufatura industrial, como máquinas, metalurgia, produção de componentes e sistemas industriais, além de setores relacionados a hardware e semicondutores, bens de consumo, biotecnologia e farmacêutica.
Esse direcionamento diversificado, porém focado, sugere que os atores maliciosos por trás da campanha têm como alvo verticais industriais críticas para a cadeia de suprimentos.
Outros países atingidos pela ZipLine incluem Cingapura, Japão e Suíça.
A origem e os motivos da campanha permanecem incertos, mas a Check Point identificou certificados digitais sobrepostos entre um endereço IP usado nos ataques e infraestruturas previamente associadas pela Zscaler e Proofpoint a ataques TransferLoader, conduzidos por um grupo conhecido como UNK_GreenSec.
A ZipLine é mais um exemplo de como os atores de ameaça estão apostando cada vez mais em fluxos legítimos de trabalho empresarial, como o contato via formulário "Contact Us" do site corporativo, utilizando a confiança para evitar suspeitas.
Embora o uso de formulários de contato como vetor de distribuição de malware não seja totalmente novo, o diferencial da ZipLine está em evitar táticas de medo ou linguagem urgente para enganar as vítimas.
Essa técnica paciente de social engineering envolve atrair as vítimas para conversas que duram semanas, às vezes inclusive orientando-as a assinarem NDAs, antes de enviar arquivos ZIP armados.
Ondas recentes de social engineering também se aproveitaram da transformação por inteligência artificial (AI), com os atacantes "oferecendo" ajuda para implementar iniciativas centradas em AI para reduzir custos e aumentar a eficiência.
A cadeia do ataque é caracterizada por payloads em múltiplas etapas, execução em memória, e canais de command-and-control (C2) baseados em DNS, permitindo que o ator malicioso opere discretamente.
Especificamente, os arquivos ZIP incluem um atalho do Windows (LNK) que dispara um loader PowerShell, que por sua vez abre caminho para o implante MixShell personalizado em memória, que usa DNS tunneling e HTTP como mecanismo de fallback para C2, suportando execução remota de comandos, operações com arquivos, reverse proxy, persistência furtiva e infiltração mais profunda da rede.
MixShell também tem uma variante em PowerShell que incorpora técnicas avançadas de anti-debugging e evasão de sandbox, usa scheduled tasks para persistência, e implementa funcionalidades de reverse proxy shell e download de arquivos.
Os arquivos ZIP maliciosos estão hospedados em um subdomínio de herokuapp[.]com, uma Platform-as-a-Service (PaaS) legítima que fornece infraestrutura de computação e armazenamento para hospedagem de aplicações web — mais uma vez ilustrando o abuso de serviços legítimos para se misturar ao tráfego normal da rede corporativa.
O arquivo LNK responsável por iniciar a cadeia de execução também exibe um documento isca presente no ZIP para não levantar suspeitas na vítima.
Entretanto, a Check Point observou que nem todos os arquivos ZIP servidos do domínio Heroku são maliciosos, sugerindo entregas personalizadas de malware em tempo real baseadas em certos critérios.
“Em muitos casos, o atacante usa domínios que correspondem aos nomes de LLCs registradas como empresas baseadas nos EUA, e algumas vezes podem ter pertencido anteriormente a negócios legítimos”, disse a Check Point.
O atacante mantém websites modelo semelhantes a todas essas empresas, indicando uma campanha bem planejada e eficiente em grande escala.
A campanha representa riscos severos para as empresas, podendo levar ao furto de propriedade intelectual, ataques de ransomware, comprometimento de email corporativo, sequestro de contas resultando em fraudes financeiras, e potenciais interrupções na cadeia de suprimentos com impactos em cascata.
“A campanha ZipLine é um alerta para todas as empresas que acreditam que phishing se resume apenas a links suspeitos em emails”, afirmou Sergey Shykevich, gerente do grupo de threat intelligence da Check Point Research.
“Os atacantes estão inovando mais rápido do que nunca – combinando psicologia humana, canais de comunicação confiáveis e iscas baseadas em AI no momento certo.
Para se proteger, as organizações devem adotar uma defesa preventiva baseada em AI e construir uma cultura de vigilância que trate toda interação recebida como uma ameaça em potencial.”
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...