Los investigadores de ciberseguridad están llamando la atención sobre una sofisticada campaña de ingeniería social que se dirige a empresas de fabricación crítica de la cadena de suministro con un malware en la memoria denominado Mixshell.
La actividad ha sido nombrada en código Tirolesa por investigación de punto de control.
«En lugar de enviar correos electrónicos de phishing no solicitados, los atacantes inician el contacto a través del formulario público de ‘Contáctenos’ de una empresa, engañando a los empleados para que comiencen la conversación», dijo la compañía en un comunicado compartido con Hacker News. «Lo que sigue son semanas de intercambios profesionales y creíbles, a menudo sellados con NDA falsos, antes de entregar un archivo zip armado con Mixshell, un sigiloso malware en la memoria».
Los ataques han arrojado una amplia red, que abarca múltiples organizaciones en sectores y ubicaciones geográficas, pero con énfasis en las entidades estadounidenses. Los objetivos principales incluyen empresas en fabricación industrial, como maquinaria, trabajo metálico, producción de componentes y sistemas de ingeniería, así como aquellos relacionados con hardware y semiconductores, bienes de consumo, biotecnología y productos farmacéuticos.
Esta orientación diversa, pero enfocada ha planteado la posibilidad de que los actores de amenaza detrás de la campaña estén perfeccionando verticales de la industria críticos para la cadena de suministro. Otros países dirigidos por Zipline incluyen Singapur, Japón y Suiza.
La procedencia y los motivos de la campaña actualmente no están claros, pero Check Point dijo que identificó certificados digitales superpuestos entre una dirección IP utilizada en los ataques e infraestructura previamente identificados por ZSCaler y Proofpoint como empleados en los ataques de cargador de transferencias realizados por un clúster de amenaza conocido como unk_greensec.
Zipline es otra instancia de cómo los actores de amenaza están depositando cada vez más en flujos de trabajo comerciales legítimos, como acercarse a los objetivos a través del formulario de contacto de una empresa en su sitio web, con el arma de la confianza en el proceso para dejar de lado las posibles inquietudes.
Si bien el enfoque de utilizar los formularios de contacto del sitio web como un vector de distribución de malware no es completamente nuevo, donde la tirolesa se distingue está evitando las tácticas de miedo y el lenguaje urgente para engañar a los destinatarios para que tomen acciones involuntarias.
Esta técnica de ingeniería social paciente implica atraer a las víctimas en conversaciones de varias semanas, en algunos casos incluso instruirles a firmar acuerdos de no divulgación (NDA), antes de enviar archivos zip atrapados en el tope. Las ondas recientes de ingeniería social también han aprovechado la tendencia de transformación de inteligencia artificial (IA), y los atacantes «ofrecen» para ayudar a las entidades objetivo a implementar nuevas iniciativas centradas en la IA para reducir los costos y mejorar la eficiencia.
La cadena de ataque se caracteriza por cargas útiles de varias etapas, ejecución en memoria y canales de comando y control (C2) basados en DNS, lo que permite que el actor de amenaza permanezca bajo el radar.
Específicamente, los archivos ZIP vienen equipados con un atajo de Windows (LNK) que desencadena un cargador PowerShell, que luego allane el camino para el implante de mixshell en memoria personalizado que utiliza túneles DNS y HTTP como un mecanismo de retroceso C2 para apoyar la ejecución remota de comandos, operaciones de archivos, proxy inverso, persistencia y infiltración de la red más profunda.
Mixshell también viene en una variante de PowerShell que incorpora técnicas avanzadas de evasión anti-debugging y evasión de sandbox, utiliza tareas programadas para la persistencia y deja caer las capacidades inversas de descarga de proxy y descarga de archivos.
Los archivos con cremallera maliciosos se alojan en un subdominio de Herokuapp (.) Com, una plataforma legítima como servicio (PAAS) que proporciona infraestructura de cálculo y almacenamiento para alojar aplicaciones web, una vez más que ilustra el abuso de servicios legítimos del actor de amenaza para combinar la actividad de red empresarial normal.
El archivo LNK responsable de iniciar la cadena de ejecución también muestra un documento de señuelo presente en el archivo zip para no despertar la sospecha de la víctima. Dicho esto, Check Point señaló que no todos los archivos postales servidos del dominio Heroku son maliciosos, lo que sugiere la entrega personalizada de malware en tiempo real en función de ciertos criterios.
«En muchos casos, el atacante utiliza dominios que coinciden con los nombres de las empresas registradas con sede en EE. UU. Y, en algunos casos, pueden haber pertenecido previamente a negocios legítimos», dijo Check Point. «El atacante mantiene sitios web de plantillas similares a todas esas compañías, que insinúan una campaña bien planificada y simplificada a gran escala».
La campaña plantea riesgos severos para las empresas, ya que puede conducir al robo de propiedades intelectuales y ataques de ransomware, compromiso de correo electrónico comercial y adquisiciones de cuentas que resultan en fraude financiero y posibles interrupciones de la cadena de suministro con impactos en cascada.
«La campaña Zipline es una llamada de atención para cada negocio que cree que Phishing se trata de enlaces sospechosos en los correos electrónicos», dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point Research.
«Los atacantes están innovando más rápido que nunca: combinando psicología humana, canales de comunicación de confianza y señuelos oportunos con temas de AI-AI. Para mantenerse seguras, las organizaciones deben adoptar la prevención de defensas impulsadas por la IA y construir una cultura de vigilancia que trata cada interacción entrante como una amenaza potencial».