Хакеры атакуют американских производителей через формы обратной связи с помощью вируса MixShell

Эксперты Check Point Research зафиксировали масштабную кампанию социальной инженерии, нацеленную на компании, критически важные для глобальных цепочек поставок. Атаки проводятся с использованием вредоносного ПО MixShell, функционирующего в оперативной памяти заражённого устройства и позволяющего злоумышленникам действовать незаметно.

По информации исследователей, атака получила кодовое название ZipLine. Вместо традиционных фишинговых писем злоумышленники используют форму «Связаться с нами» на официальных сайтах компаний, чтобы инициировать диалог с сотрудниками. Коммуникация выстраивается грамотно и длится неделями, подкрепляется поддельными соглашениями о неразглашении и иными формальными документами. Лишь спустя продолжительное взаимодействие жертве отправляется ZIP-архив с внедрённым вредоносным компонентом MixShell.

Отличительная особенность MixShell заключается в том, что он работает исключительно в оперативной памяти, не оставляя следов на диске, что существенно затрудняет его обнаружение традиционными средствами защиты. В результате злоумышленники получают удалённый доступ к системе жертвы и могут использовать её для дальнейшего распространения атаки, шпионажа или кражи данных.

Основная география заражений — США, а основными целями становятся производственные и инженерные компании: машиностроение, металлообработка, производство компонентов, полупроводников, фармацевтических и биотехнологических продуктов. Атаки также зафиксированы в Японии, Сингапуре и Швейцарии, что указывает на глобальный характер кампании.

По мнению аналитиков, выбор жертв не случаен — злоумышленники целенаправленно атакуют критически важные отрасли, задействованные в международных логистических и производственных цепочках. Это повышает потенциальный урон и делает такие атаки особенно опасными.

Хотя точное происхождение кампании пока не установлено, Check Point обнаружила совпадения в используемой инфраструктуре с ранее зафиксированными атаками TransferLoader, проводимыми группировкой UNK_GreenSec. В частности, было установлено совпадение цифровых сертификатов и IP-адресов, задействованных в обоих инцидентах, а также сходство в методах обхода защиты.