Los investigadores de ciberseguridad están llamando la atención sobre una sofisticada campaña de ingeniería social que se dirige a empresas de fabricación crítica de la cautiverio de suministro con un malware en la memoria denominado Mixshell.
La actividad ha sido nombrada en código Tirolesa por investigación de punto de control.
“En punto de remitir correos electrónicos de phishing no solicitados, los atacantes inician el contacto a través del formulario divulgado de ‘Contáctenos’ de una empresa, engañando a los empleados para que comiencen la conversación”, dijo la compañía en un comunicado compartido con Hacker News. “Lo que sigue son semanas de intercambios profesionales y creíbles, a menudo sellados con NDA falsos, antaño de entregar un archivo zip armado con Mixshell, un sigiloso malware en la memoria”.
Los ataques han arrojado una amplia red, que alpargata múltiples organizaciones en sectores y ubicaciones geográficas, pero con realce en las entidades estadounidenses. Los objetivos principales incluyen empresas en fabricación industrial, como maquinaria, trabajo metálico, producción de componentes y sistemas de ingeniería, así como aquellos relacionados con hardware y semiconductores, posesiones de consumo, biotecnología y productos farmacéuticos.
Esta orientación diversa, pero enfocada ha planteado la posibilidad de que los actores de amenaza detrás de la campaña estén perfeccionando verticales de la industria críticos para la cautiverio de suministro. Otros países dirigidos por Zipline incluyen Singapur, Japón y Suiza.
La procedencia y los motivos de la campaña actualmente no están claros, pero Check Point dijo que identificó certificados digitales superpuestos entre una dirección IP utilizada en los ataques e infraestructura previamente identificados por ZSCaler y Proofpoint como empleados en los ataques de cargador de transferencias realizados por un clúster de amenaza conocido como unk_greensec.
Zipline es otra instancia de cómo los actores de amenaza están depositando cada vez más en flujos de trabajo comerciales legítimos, como acercarse a los objetivos a través del formulario de contacto de una empresa en su sitio web, con el armas de la confianza en el proceso para dejar de flanco las posibles inquietudes.
Si perfectamente el enfoque de utilizar los formularios de contacto del sitio web como un vector de distribución de malware no es completamente nuevo, donde la tirolesa se distingue está evitando las tácticas de miedo y el verbo urgente para engañar a los destinatarios para que tomen acciones involuntarias.
Esta técnica de ingeniería social paciente implica atraer a las víctimas en conversaciones de varias semanas, en algunos casos incluso instruirles a firmar acuerdos de no divulgación (NDA), antaño de remitir archivos zip atrapados en el tope. Las ondas recientes de ingeniería social incluso han utilizado la tendencia de transformación de inteligencia sintético (IA), y los atacantes “ofrecen” para ayudar a las entidades objetivo a implementar nuevas iniciativas centradas en la IA para aminorar los costos y mejorar la eficiencia.
La cautiverio de ataque se caracteriza por cargas efectos de varias etapas, ejecución en memoria y canales de comando y control (C2) basados en DNS, lo que permite que el actor de amenaza permanezca bajo el radar.
Específicamente, los archivos ZIP vienen equipados con un trocha de Windows (LNK) que desencadena un cargador PowerShell, que luego allane el camino para el implante de mixshell en memoria personalizado que utiliza túneles DNS y HTTP como un mecanismo de retroceso C2 para apoyar la ejecución remota de comandos, operaciones de archivos, proxy inverso, persistencia y infiltración de la red más profunda.
Mixshell incluso viene en una variación de PowerShell que incorpora técnicas avanzadas de diversión anti-debugging y diversión de sandbox, utiliza tareas programadas para la persistencia y deja caer las capacidades inversas de descarga de proxy y descarga de archivos.
Los archivos con cremallera maliciosos se alojan en un subdominio de Herokuapp (.) Com, una plataforma legítima como servicio (PAAS) que proporciona infraestructura de cálculo y almacenamiento para penetrar aplicaciones web, una vez más que ilustra el desmán de servicios legítimos del actor de amenaza para combinar la actividad de red empresarial habitual.
El archivo LNK responsable de iniciar la cautiverio de ejecución incluso muestra un documento de señuelo presente en el archivo zip para no despertar la sospecha de la víctima. Dicho esto, Check Point señaló que no todos los archivos postales servidos del dominio Heroku son maliciosos, lo que sugiere la entrega personalizada de malware en tiempo existente en función de ciertos criterios.
“En muchos casos, el atacante utiliza dominios que coinciden con los nombres de las empresas registradas con sede en EE. UU. Y, en algunos casos, pueden suceder pertenecido previamente a negocios legítimos”, dijo Check Point. “El atacante mantiene sitios web de plantillas similares a todas esas compañías, que insinúan una campaña perfectamente planificada y simplificada a gran escalera”.
La campaña plantea riesgos severos para las empresas, ya que puede conducir al robo de propiedades intelectuales y ataques de ransomware, compromiso de correo electrónico comercial y adquisiciones de cuentas que resultan en fraude financiero y posibles interrupciones de la cautiverio de suministro con impactos en cascada.
“La campaña Zipline es una citación de atención para cada negocio que cree que Phishing se alcahuetería de enlaces sospechosos en los correos electrónicos”, dijo Sergey Shykevich, director del orden de inteligencia de amenazas en Check Point Research.
“Los atacantes están innovando más rápido que nunca: combinando psicología humana, canales de comunicación de confianza y señuelos oportunos con temas de AI-AI. Para mantenerse seguras, las organizaciones deben adoptar la prevención de defensas impulsadas por la IA y construir una civilización de vigilancia que alcahuetería cada interacción entrante como una amenaza potencial”.
