A Check Point Research (CPR) divulgou detalhes sobre ZipLine, considerada uma das campanhas de phishing mais sofisticadas já detectadas. A pesquisa mostra que ao contrário de abordagens tradicionais, os atacantes invertem o golpe: em vez de enviar e-mails não solicitados, eles utilizam formulários públicos de “Fale Conosco” para que as próprias vítimas iniciem a comunicação.
Como os ataques acontecem
Os pesquisadores explicaram que após a primeira interação, os cibercriminosos mantêm conversas profissionais durante dias ou semanas, chegando a solicitar assinatura de acordos de confidencialidade para transmitir confiança. Só então enviam um arquivo ZIP malicioso que contém documentos aparentemente legítimos e um atalho (LNK) oculto. Este aciona um script PowerShell que roda inteiramente em memória e instala o MixShell, um implante customizado .
Segunda fase: pretexto de IA
A Check Point também identificou uma nova onda de mensagens da campanha, desta vez com a temática de transformação digital por IA. Os e-mails se passam por Avaliações Internas de Impacto de IA supostamente solicitadas pela liderança das empresas para avaliar ganhos de eficiência e redução de custos. Embora o malware não tenha sido identificado diretamente nesses casos, a infraestrutura sugere repetição do modelo com entrega de ZIPs maliciosos e execução do MixShell.
O estudo mostra que a campanha ZipLine mira empresas de manufatura e cadeias de suprimento críticas dos Estados Unidos, setores onde qualquer comprometimento pode trazer graves consequências. Para os especialistas, ao explorar canais de comunicação cotidianos e executar phishing em múltiplos estágios, os atacantes demonstram como a engenharia social continua sendo uma das formas mais eficazes de invadir organizações.
