Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware MixShell

Programe malware MixShell

Până în Mezo în Programe malware
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o operațiune sofisticată de inginerie socială, cu numele de cod ZipLine, care utilizează un malware ascuns în memorie, cunoscut sub numele de MixShell. Campania vizează în principal companiile producătoare critice pentru lanțul de aprovizionare și reprezintă o tendință tot mai mare a atacatorilor care exploatează fluxuri de lucru de afaceri de încredere, în loc de metode tradiționale de phishing.

De la formulare de contact la compromis

Spre deosebire de atacurile convenționale de tip phishing transmise prin e-mailuri nesolicitate, operatorii ZipLine își încep intruziunea prin intermediul formularului „Contactați-ne” al companiei. Această abordare subtilă stabilește credibilitatea încă de la început. Ceea ce urmează este un schimb de comunicare profesională și convingătoare de mai multe săptămâni, adesea întărit de acorduri de confidențialitate fabricate, înainte ca atacatorii să livreze o arhivă ZIP malițioasă care conține MixShell.

Această tactică de construire a încrederii pacientului diferențiază ZipLine de campaniile de intimidare. În unele cazuri, atacatorii își bazează chiar abordarea în jurul inițiativelor bazate pe inteligență artificială, prezentându-se ca parteneri care pot ajuta la reducerea costurilor și la creșterea eficienței.

Cine este în vizor?

Vizarea ZipLine este largă, dar se concentrează pe organizațiile din SUA din industriile critice pentru lanțul de aprovizionare. Alte regiuni afectate includ Singapore, Japonia și Elveția.

Sectoarele cheie vizate includ:

  • Producție industrială (mașini, lucrări metalice, componente, sisteme inginerești)
  • Hardware și semiconductori
  • Biotehnologie și produse farmaceutice
  • Producția de bunuri de consum

Atacatorii folosesc, de asemenea, domenii care imită LLC-urile înregistrate în SUA, uneori reutilizând domenii ale unor companii legitime, dar inactive. Aceste site-uri web clonate indică o operațiune la scară largă, extrem de structurată.

Anatomia lanțului de atac

Succesul ZipLine constă într-un proces de infectare în mai multe etape, conceput pentru a fi ascuns și persistent. Arhivele ZIP transformate în arme sunt de obicei găzduite pe Herokuapp.com, un serviciu cloud legitim, ajutând malware-ul să se integreze în activitatea normală a rețelei.

Procesul de infecție include:

  • O comandă rapidă Windows (LNK) în interiorul fișierului ZIP declanșează un încărcător PowerShell.
  • Încărcătorul implementează MixShell, un implant personalizat executat în întregime în memorie.
  • MixShell comunică prin tunelare DNS (cu rezervă HTTP), permițând executarea comenzilor la distanță, manipularea fișierelor, proxy-ul invers, persistența și infiltrarea în rețea.
  • Unele versiuni includ tehnici anti-depanare și de evitare a problemelor din sandbox, împreună cu sarcini programate pentru a menține persistența.
  • În special, fișierul LNK lansează și un document capcană, mascand și mai mult comportamentul rău intenționat.

Legături către activitățile de amenințare anterioare

Cercetătorii au identificat suprapuneri între certificatele digitale utilizate în infrastructura ZipLine și cele legate de atacurile TransferLoader atribuite grupului de amenințări numit UNK_GreenSec. Deși atribuirea rămâne incertă, această conexiune sugerează un actor bine organizat, ingenios, cu experiență anterioară în campanii la scară largă.

Riscurile campaniei ZipLine

Consecințele unei infecții cu MixShell pot fi grave, de la furtul de proprietate intelectuală și compromiterea e-mailurilor de afaceri până la incidente de tip ransomware și perturbarea lanțului de aprovizionare. Având în vedere natura industriilor vizate, impactul s-ar putea extinde dincolo de companiile individuale către ecosisteme de producție întregi.

Măsuri defensive: Cum să fim cu un pas înaintea amenințărilor create social

Campania ZipLine evidențiază modul în care infractorii cibernetici inovează, valorificând psihologia umană, canalele de comunicare de încredere și temele legate de inteligența artificială pentru a exploata încrederea.

Pentru a contracara astfel de amenințări, organizațiile trebuie:

  • Adoptăți măsuri de apărare care pun pe primul loc prevenția, capabile să detecteze comportamente anormale.
  • Instruiți angajații să abordeze fiecare solicitare primită cu scepticism, indiferent de canalul utilizat.
  • Aplicați politici stricte de gestionare a fișierelor, în special în ceea ce privește arhivele ZIP și fișierele de comenzi rapide.
  • Consolidați monitorizarea anomaliilor de comunicare bazate pe DNS care pot indica tunelare.

Construirea unei culturi a vigilenței este esențială. Încrederea, odată transformată într-o armă, devine unul dintre cele mai eficiente instrumente din arsenalul unui atacator.

Trending

Expedierea a fost creată cu o înșelătorie prin...

phishing, Spam
Campaniile de phishing continuă să exploateze încrederea pe care oamenii o au în companiile cunoscute. O astfel de schemă care circulă este escrocheria prin e-mail „Expedierea a fost creată cu DHL Express”. Deși aceste mesaje pretind că provin de la furnizorul global de logistică DHL, ele nu sunt în niciun fel conectate la compania legitimă. În schimb, sunt momeli atent concepute, menite să...

Cele mai văzute

Se încarcă...