En las últimas semanas, una sofisticada operación de phishing conocida como la campaña Zipline ha dirigido a las empresas manufactureras con sede en los Estados Unidos, aprovechando la criticidad de la cadena de suministro y las comunicaciones comerciales legítimas para implementar un implante avanzado en la memoria Dubbed Mixshell.
Este actor de amenaza invierte los flujos de trabajo de phishing tradicionales al iniciar el contacto a través de formularios web corporativos de “Contáctenos”, lo que lleva a las víctimas a comunicarse primero.
Una vez que se establece el diálogo, los atacantes posan como socios potenciales e involucran al objetivo en la correspondencia de correo electrónico prolongada, que a menudo abarca dos semanas, antes de entregar un archivo ZIP armado alojado en un dominio de plataforma de confianza como servicio.
El archivo ZIP oculta un archivo .lnk malicioso y un script de PowerShell integrado, que ofusca su verdadero propósito al incluir archivos inofensivos PDF y DOCX de señolas junto con la carga útil.
Tras la ejecución, el archivo .lnk desencadena un cargador que escanea los directorios comunes para el archivo, extrae un script PowerShell delimitado por marcador y lo inyecta directamente en la memoria, pasando por alto las verificaciones de AMSI al forzar amsiutilss.amsiinitfailed = $ true.
Analistas de seguridad de PICUS identificado Este enfoque residente de la memoria como un factor clave en el sigilo de Mixshell, que permite la ejecución rápida y sin archivo sin tocar el disco.
El código de shell de Mixshell se desenvuelve en la memoria utilizando Reflection y System.Reflection.Emit API, resolviendo dinámicamente las funciones de la API de Windows a través de un algoritmo de hash basado en ROR4 personalizado.
Cadena de infección por tirolina (Fuente – Punto de control)
La configuración del implante, almacenada inmediatamente después de la sección de código en un bloque codificado por HEX y con ciencias XOR, proporciona parámetros del túnel DNS TXT para el comando y el control (C2).
Estos parámetros incluyen marcadores de prepend y apertura, una clave XOR e información de dominio, todos los cuales facilitan el intercambio de datos encubiertos sobre las consultas DNS.
Si el DNS falla después de seis intentos, el implante cambia al retroceso HTTP, manteniendo el mismo formato de cifrado y enmarcado para combinar el tráfico malicioso con solicitudes web legítimas.
Más allá de la ejecución inicial, MixShell establece la persistencia al secuestrar la entrada de registro Typelib de un objeto COM.
El script de PowerShell escribe un script de XML malicioso llamado UDATE_SRV.SCT al directorio ProgramData y señala el CLSID {EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}, asociado con el control de navegadores web del explorador de Internet, para este archivo.
En cada sistema de reinicio o cuando Explorer.exe desencadena el objeto COM secuestrado, el scriptlet inicia cmd (.) Exe /k set x = 1 & {atajado}, vuelve a ejecutar la carga útil sin más interacción del usuario.
Mecanismo de infección Dive Deep Dive
La cadena de infección de la tirolesa es una clase magistral en ingeniería social y evasión técnica.
Los atacantes primero presentan una consulta basada en formularios, a menudo con un pretexto “Evaluación de impacto de IA”, al sitio web del objetivo. Una vez que la víctima responde, los atacantes solicitan una NDA y proporcionan un enlace a un archivo postal en un subdominio legítimo de Herokuapp.
Entrega del archivo ZIP de NDA malicioso (Fuente – Punto de control)
Dentro del archivo, el script PowerShell localiza el marcador de carga útil integrado XFIQCV, extrae el blob de shellcode y utiliza métodos en memoria para asignar páginas ejecutables a través de VirtualAlloc e invocar la carga útil directamente.
La rutina de hash ROR4 de Mixshell (DEF API_HASH y DEF ROR4) itera sobre los nombres de API con mayúsculas y mayúsculas, generando identificadores para resolver punteros de funciones en tiempo de ejecución.
Configuración de MixShell (Fuente – Punto de control)
Esta resolución dinámica evita las importaciones estáticas, lo que hace que las detecciones comunes basadas en la firma sean ineficaces.
Al mantener todas las acciones maliciosas en la memoria volátil, Mixshell deja solo artefactos forenses mínimos, desafiando a los respondedores incidentes para detectar y remediar a los hosts infectados antes de que pueda ocurrir la exfiltración de datos o el movimiento lateral.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
