ZipLine-phishing misbruikt vertrouwen in contactformulieren

In dit artikel:

Check Point Research ontdekte de ZipLine-campagne: aanvallers benaderen organisaties niet via opvallende phishing-mails, maar via contactformulieren en langdurige, zorgvuldig opgebouwde e-mailgesprekken van zo’n twee weken. Ze doen zich voor als potentiële zakenpartners en sturen uiteindelijk een zogenaamd geheimhoudingsdocument (NDA) dat besmet is met MixShell‑malware. Die malware gebruikt onder meer DNS‑tunneling en een HTTP‑fallback om opdrachten van afstand uit te voeren en zo endpoints stilletjes te compromitteren.

De aanvallen zijn vooral gericht op Amerikaanse maakbedrijven, maar treffen ook sectoren in Europa en Azië zoals lucht‑ en ruimtevaart, energie en biotech. Omdat toeleveringsketens veel partijen en gedeelde data omvatten, kunnen de gevolgen verder reiken dan één organisatie. De aanvallers bouwen soms hele nepsites en imiteren echte, in de VS geregistreerde ondernemingen; een tweede golf maakt misbruik van de AI‑hype door interne “AI‑impactbeoordelingen” met vragenlijsten te verspreiden.

Check Point waarschuwt dat contactformulieren en collaborationtools als aanvalsvectoren moeten worden gezien. Aanbevolen verdedigingsmaatregelen: monitoren van alledaagse communicatiekanalen, verificatie van nieuwe zakelijke contacten via onafhankelijke bronnen (telefoon, LinkedIn), gerichte training voor personeel in supply chain en inkoop, en grondige inspectie van ZIP‑archieven en bijlagen. Volgens Threat Intelligence‑manager Sergey Shykevich laat ZipLine zien dat geduld en social engineering nog steeds effectief zijn en dat bedrijven hun standaard phishing‑verdediging moeten uitbreiden naar multi‑channel bedreigingen.