Phishing via contactformulieren: nieuwe ZipLine-campagne misbruikt zakelijk vertrouwen en AI

Onderzoekers van Check Point Research (CPR) hebben een nieuwe phishingcampagne aan het licht gebracht, genaamd ZipLine. De campagne onderscheidt zich door het misbruik van contactformulieren op bedrijfswebsites in plaats van het verzenden van reguliere phishingmails. De methode maakt slim gebruik van social engineering en de huidige AI-hype om slachtoffers te misleiden en toegang te krijgen tot bedrijfsnetwerken. De ontdekking benadrukt dat bedrijven, ook in Nederland, hun verdedigingslinies moeten uitbreiden naar alledaagse communicatiekanalen zoals contactformulieren.

“De ZipLine-campagne is een wake-up call voor elk bedrijf dat denkt dat phishing alleen maar om verdachte links in e-mails gaat”, waarschuwt Sergey Shykevich, Threat Intelligence Group Manager bij Check Point Research.

In plaats van het versturen van verdachte e-mails, nemen de aanvallers contact op via contactformulieren en doen ze zich voor als potentiële zakenpartners. Vervolgens start een zorgvuldig georkestreerde e-mailconversatie, die vaak twee weken duurt. Uiteindelijk sturen ze een zogenaamd geheimhoudingsdocument (NDA) in ZIP-formaat, dat in werkelijkheid de MixShell-malware bevat. Deze malware gebruikt technieken als DNS-tunneling om onopgemerkt opdrachten uit te voeren en zich binnen het netwerk te nestelen.

ZipLine laat zien hoe geduldige social engineering de verdediging kan omzeilen. Aanvallers investeren dagen of weken in geloofwaardige, professionele gesprekken. De criminelen maakten zelfs nepwebsites van de bedrijven waarvoor ze zich uitgaven, die in sommige gevallen legitieme, in de VS geregistreerde bedrijven nabootsen. Pas nadat ze de schijn van legitimiteit hebben gewekt, delen ze een bestand dat malware bevat.

De belangrijkste bevindingen van de onderzoekers:

• Nieuwe aanvalstactiek: Aanvallers maken gebruik van online contactformulieren om e-mailfilters te omzeilen.

• Diepe infiltratie: Aanvallers investeren weken in geloofwaardige zakelijke gesprekken en vragen slachtoffers om geheimhoudingsverklaringen te ondertekenen, als ultieme lokmiddel om de kwaadaardige ZIP-bestanden te openen.

• Geavanceerde malware: MixShell maakt gebruik van geavanceerde technieken als DNS-tunneling en HTTP-fallback om externe opdrachten uit te voeren, onopgemerkt aanwezig te blijven en verder het netwerk binnen te dringen.

• Inspelen op AI hype: Een tweede golf ZipLine-e-mails werd gepositioneerd als interne AI-impactbeoordelingen, zogenaamd aangevraagd door de directie om de efficiëntie en kostenbesparingen te evalueren. Medewerkers werd gevraagd een korte vragenlijst te beantwoorden over de mogelijke invloed van AI op hun workflows.

• Impact: De doelwitten zijn voornamelijk Amerikaanse productiebedrijven, maar ook sectoren in Europa en Azië, waaronder lucht- en ruimtevaart, energie en biotech.

• Grote risico’s: Diefstal van intellectueel eigendom, ransomware-aanvallen, frauduleuze overnames van zakelijke accounts en verstoring van supply chains.

Een blauwdruk voor ontwikkeling cybercriminaliteit 
“ZipLine is niet zomaar een phishingcampagne, maar een blauwdruk voor de manier waarop cybercriminelen zich ontwikkelen. Door alledaagse bedrijfsprocessen, zakelijk vertrouwen en de wereldwijde discussie over AI als wapens in te zetten, bewijzen aanvallers dat geduld en social engineering nog steeds tot de meest effectieve middelen behoren om zelfs goed beveiligde organisaties te hacken”, aldus Shykevich.

Ook Nederlandse bedrijven kunnen zich voorbereiden op vergelijkbare dreigingen.

Check Point Software deelt de volgende aanbevelingen:

• Beschouw ook contactformulieren en samenwerkingstools als potentiële aanvalsvectoren en breidt monitoring uit.

• Train medewerkers, vooral in supply chain en inkoop, in het herkennen van multi-channel phishing.

• Verifieer nieuwe zakelijke contacten altijd via onafhankelijke bronnen (telefoon, LinkedIn, netwerk).

• Zorg dat beveiligingstools ook ZIP-archieven en bijlagen grondig inspecteren.

—–