Powershell

A campanha de malware ZipLine, monitorada pela Check Point Research, está transformando o cenário de ataques de engenharia social contra organizações críticas de manufatura e cadeia de suprimentos nos Estados Unidos. Diferente do phishing convencional, a ZipLine inicia com os atacantes enviando consultas através de formulários de contato corporativos, permitindo que a vítima inicie trocas de e-mails sem suspeitas. Após estabelecer um relacionamento, os atacantes introduzem motivos comerciais plausíveis e enviam um arquivo ZIP que contém arquivos legítimos e um arquivo LNK malicioso. Este arquivo aciona uma cadeia de execução em PowerShell que busca uma string específica, extrai um script embutido e o executa na memória, evitando a detecção de endpoints. O MixShell, um implante em memória, realiza operações de comando e controle via registros DNS, utilizando subdomínios especialmente criados para minimizar a visibilidade do tráfego. A campanha visa empresas de manufatura, biotecnologia, eletrônicos e energia, destacando a necessidade de monitoramento rigoroso das comunicações de entrada e a adoção de estratégias de detecção em múltiplas camadas para prevenir esses ataques avançados.