A Check Point Research descobriu uma operação de phishing altamente persistente apelidada de Zipline, que reverte os vetores de ataque tradicionais, explorando os formulários da Web “Entre em contato conosco” das vítimas para iniciar comunicações comerciais aparentemente legítimas.
Direcionando principalmente empresas de manufatura baseadas nos EUA em setores críticos da cadeia de suprimentos, a campanha alavanca as trocas de e-mail prolongadas, geralmente abrangendo semanas para construir confiança antes de fornecer arquivos de zip maliciosos.
Táticas de acesso inicial
Os invasores representam como parceiros em potencial, discutindo acordos de não divulgação (NDAs) ou, em ondas recentes, as iniciativas de transformação da IA enquadradas como “avaliações de impacto de IA” internas para solicitar a contribuição da vítima sobre a eficiência operacional.
Essa abordagem de engenharia social evita detecções baseadas em reputação, pois a vítima inicia o tópico de e-mail e incorpora domínios credíveis imitando a US LLCs registrados com sites modelos com imagens de estoque para maior legitimidade.
As cargas úteis são hospedadas em plataformas abusadas como a Heroku, com conteúdo dinâmico potencialmente adaptado com base em metadados da vítima, como endereços IP ou agentes de usuários, garantindo a entrega furtiva de implantes internos sem suspeita imediata.
A cadeia de infecções começa com um arquivo zip contendo documentos de atração benigna um pdf e docx ao lado de um malicioso Atalho LNK.
Este LNK executa um carregador PowerShell que digitaliza diretórios predefinidos (por exemplo, desktop, downloads, temp) para o ZIP, localiza um script incorporado por meio de uma sequência de marcadores como “xfiqcv”, extrai o strings, ignorando o strings do AMSI ao definir o amosso.
A persistência é alcançada através do seqüestro de typelib, modificando o registro CLSID {EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B} para apontar para um arquivo SCT malicioso, que relaxa a carga via cmd.exe em eventos de sistemas como explicações exploradoras.
O script descriptografa o código de shell criptografado por XOR (base64 codificado) com base na arquitetura do sistema, usando o System.reflection.emit para execução na memória via VirtualAlloc, minimizando pegadas de disco.
Mixshell implante
No núcleo do zipline está o Mixshell, um backdoor de código de shell de código de shell que resolve as APIs do Windows via hash para evasão, analisa um bloco de configuração criptografado com XOR, que contém parâmetros como domínios DNS, as chaves.
Comando e controle (C2) prioriza o tunelamento DNS TXT com fallback http, formatando subdomínios como … Para a transmissão de dados criptografada, limitada a 60 caracteres por consulta.
Os comandos suportados incluem operações de arquivo, execução de comandos por meio de tubos e proxys reversos para o giratório de rede, onde o mixhell retransmite o tráfego através de apertos de mão envolvendo mensagens zero bytes e redirecionamentos de IP/porta dinâmica.
Uma variante de mixshell do PowerShell aumenta a evasão por escaneamento para depuradores (por exemplo, Windbg, Wireshark), artefatos de caixa de areia (por exemplo, tubos de vBox) e indicadores de virtualização (por exemplo, núcleos de baixa RAM/CPU), enquanto usam tarefas agendadas para a persistência e produtos de resistência CRC32-Hashed.
Análise de infraestrutura revela domínios como Tollcrm[.]com resolução de IPs como 172.210.58[.]69, vinculado a painéis de gerenciamento em potencial e sobrepostos a campanhas anteriores como o TransferLoader, sugerindo vínculos com atores motivados financeiramente como o UNK_GREENSEC.
A vitimologia abrange setores industriais de fabricação, semicondutores, biotecnologia e energia, com mais de 80% de foco nos EUA, visando empresas e pequenas e médias empresas para dados proprietários ou cadeia de mantimentos exploração.
Os defensores devem monitorar as formas de entrada, as correspondências estendidas e as anomalias do DNS, pois o email e a colaboração de Harmony de ponto de verificação emprega análises orientadas por IA para impedir essas ameaças de vários estágios por meio de detecção contextual de phishing e emulação de ameaças.
Indicadores de compromisso (IOCs)
| Categoria | COI |
|---|---|
| Hashes |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|
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!