A Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, divulgou detalhes sobre ZipLine, considerada uma das campanhas de phishing mais sofisticadas já detectadas. Ao contrário de abordagens tradicionais, os atacantes invertem o golpe: em vez de enviar e-mails não solicitados, eles utilizam formulários públicos de “Fale Conosco” para que as próprias vítimas iniciem a comunicação.
CONTEÚDO RELACIONADO: Campanha de phishing usa convites falsos do Google Classroom
Após a primeira interação, os cibercriminosos mantêm conversas profissionais durante dias ou semanas, chegando a solicitar assinatura de acordos de confidencialidade para transmitir confiança. Só então enviam um arquivo ZIP malicioso que contém documentos aparentemente legítimos e um atalho oculto. Este aciona um script PowerShell que roda inteiramente em memória e instala o MixShell, um implante customizado que:
- Usa tunelamento DNS TXT com fallback HTTP para comunicações C2.
- Executa comandos e operações de arquivos remotamente.
- Cria túneis de proxy reverso para acesso mais profundo à rede.
- Mantém controle persistente e oculto sobre os sistemas infectados.
A CPR também identificou uma nova onda de mensagens da campanha, desta vez com a temática de transformação digital por inteligência artificial (IA). Os e-mails se passam por Avaliações Internas de Impacto de IA supostamente solicitadas pela liderança das empresas para avaliar ganhos de eficiência e redução de custos. Embora o malware não tenha sido identificado diretamente nesses casos, a infraestrutura sugere repetição do modelo com entrega de ZIPs maliciosos e execução do MixShell.
Riscos e impactos
A campanha ZipLine mira empresas de manufatura e cadeias de suprimento críticas dos Estados Unidos, setores onde qualquer comprometimento pode trazer graves consequências:
- Roubo de propriedade intelectual e extorsão via ransomware podem paralisar linhas de produção e causar vazamentos de dados.
- Fraude financeira por meio de credenciais roubadas, sequestro de contas bancárias ou comprometimento de e-mails corporativos pode gerar grandes perdas monetárias.
- Comprometimento da cadeia de suprimentos pode interromper a produção de componentes críticos, com efeitos em cascata em diversos setores.
Para os especialistas, ao explorar canais de comunicação cotidianos e executar phishing em múltiplos estágios, os atacantes demonstram como a engenharia social continua sendo uma das formas mais eficazes de invadir organizações.
Defesa e recomendações
Para se proteger, a Check Point Software listou as seguintes medidas:
- Ampliar o monitoramento de canais de entrada: Tratar formulários de “Fale Conosco”, ferramentas de colaboração e outros vetores aparentemente inofensivos como potenciais pontos de entrada.
- Aumentar a conscientização dos usuários: Treinar funcionários, especialmente em áreas de compras, parcerias e gestão de cadeia de suprimentos, sobre engenharia social multicanal, iscas de phishing e tipos de arquivos maliciosos.
- Implementar due diligence (auditoria e avaliação de conformidade e riscos) reforçada para novos fornecedores ou contatos comerciais: Verificação por fontes independentes (telefone, LinkedIn ou parceiros conhecidos).
- Reforçar a inspeção de anexos e links: Garantir que as ferramentas de segurança possam analisar o conteúdo de arquivos compactados.
- Proteger contra sequestro de contas e BEC (Comprometimento de E-mail Comercial): Aplicar múltiplos fatores de autenticação (MFA) e monitorar comportamentos de login suspeitos.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).

