Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha identificado ZipLine, una de las campañas de phishing basadas en ingen...read more
Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha identificado ZipLine, una de las campañas de phishing basadas en ingeniería social más sofisticadas de los últimos años, dirigida principalmente a empresas del sector manufacturero y cadenas de suministro críticas en Estados Unidos.
A diferencia del flujo habitual del phishing, los atacantes inician contacto a través de formularios públicos de “Contacto” en sitios web corporativos. De este modo, consiguen que la víctima sea quien envíe el primer correo, lo que hace que la comunicación parezca legítima y evita filtros de reputación. Durante semanas, los ciberdelincuentes mantienen intercambios profesionales y creíbles, llegando incluso a solicitar la firma de un acuerdo de confidencialidad (NDA). Solo tras establecer esta confianza, entregan un archivo ZIP manipulado que contiene tanto documentos benignos como un archivo LNK malicioso. Al ejecutarse, este extrae un script PowerShell oculto que se carga íntegramente en memoria y despliega MixShell, un implante personalizado capaz de comunicarse mediante DNS tunneling y HTTP de respaldo, ejecutar comandos y operaciones de archivos de forma remota, crear túneles proxy inversos para profundizar en el acceso a la red y mantener control persistente y sigiloso de los sistemas comprometidos.
Check Point Research también ha detectado una segunda oleada de correos de ZipLine con temática de IA. Estos mensajes se presentaban como evaluaciones internas de impacto de la IA, supuestamente solicitadas por la dirección para medir eficiencia y ahorro de costes. Aunque no se recuperó malware directamente en estas muestras, la infraestructura empleada apunta a que se repetiría el mismo modelo: archivo ZIP malicioso y ejecución en memoria de MixShell.
El foco en empresas manufactureras y de la cadena de suministro en EE. UU. plantea riesgos significativos. El robo de propiedad intelectual y la extorsión mediante ransomware podrían detener líneas de producción y filtrar datos confidenciales. El fraude financiero, a través del robo de credenciales, toma de control de cuentas bancarias o compromisos de correo corporativo (BEC), podría derivar en pérdidas monetarias sustanciales. Asimismo, una posible interrupción de la cadena de suministro impactaría en la producción de componentes críticos con efectos en cascada en múltiples industrias.
Imagen 1. Empresas objetivo de ZipLine
Check Point Research recomienda adoptar medidas proactivas y en capas para protegerse frente a campañas como ZipLine:
• Ampliar la monitorización de canales de entrada (formularios de contacto, apps colaborativas, mensajería, SaaS).
• Formar a empleados de áreas sensibles (compras, partners, supply chain) sobre ingeniería social y tipos de archivos maliciosos.
• Reforzar la diligencia debida con nuevos proveedores o contactos mediante fuentes independientes (teléfono, LinkedIn, socios conocidos).
• Asegurar la inspección profunda de archivos comprimidos en las herramientas de seguridad.
• Proteger contra compromisos de cuentas con MFA y monitorización de accesos sospechosos.
Check Point Harmony Email & Collaboration bloquea amenazas de este tipo con defensas basadas en IA y análisis multinivel, incluyendo prevención de phishing impulsada por IA y PLN que analiza patrones de comunicación, simulación de amenazas para neutralizar archivos adjuntos maliciosos (incluidos ZIPs manipulados), protección en tiempo real contra URLs de phishing, análisis de comportamiento para prevenir toma de cuentas y fraudes BEC, y prevención de pérdida de datos (DLP) para salvaguardar propiedad intelectual y datos sensibles de la cadena de suministro.
“ZipLine representa una innovación en el phishing, combinando explotación de formularios web, conversaciones prolongadas y ganchos oportunos basados en IA”, explica Ángel Salazar, gerente de ingeniería de seguridad de canales en Latinoamérica de Check Point Software. “Sus riesgos para la industria manufacturera y la cadena de suministro son severos, pero con Harmony Email & Collaboration, las empresas pueden adelantarse a este tipo de ataques avanzados de ingeniería social”.
Loreto
