Las empresas de transporte y logística de América del Norte son el objetivo de una nueva campaña de phishing que distribuye una variedad de ladrones de información y troyanos de acceso remoto (RAT).
El grupo de actividades, según Proofpoint, utiliza cuentas de correo electrónico legítimas comprometidas que pertenecen a empresas de transporte y envío para inyectar contenido malicioso en conversaciones de correo electrónico existentes.
Se han identificado hasta 15 cuentas de correo electrónico vulneradas que se utilizaron como parte de la campaña. Actualmente no está claro cómo se infiltraron estas cuentas en primer lugar ni quién está detrás de los ataques.
“La actividad que se produjo entre mayo y julio de 2024 se distribuyó principalmente con Lumma Stealer, StealC o NetSupport”, dijo la empresa de seguridad empresarial. dicho en un análisis publicado el martes.
“En agosto de 2024, el actor de amenazas cambió de táctica al emplear una nueva infraestructura y una nueva técnica de entrega, además de agregar cargas útiles para entregar DanaBot y Arechclient2”.
Las cadenas de ataque implican el envío de mensajes que contienen archivos adjuntos con accesos directos a Internet (.URL) o URL de Google Drive que conducen a un archivo .URL que, cuando se ejecuta, utiliza Server Message Block (SMB) para obtener la carga útil de la siguiente etapa que contiene el malware desde un recurso compartido remoto.
Algunas variantes de la campaña observada en agosto de 2024 también se han aprovechado de una técnica recientemente popular llamada ClickFix para engañar a las víctimas para que descarguen el malware DanaBot con el pretexto de solucionar un problema con la visualización del contenido del documento en el navegador web.
En concreto, se trata de instar a los usuarios a copiar y pegar un script de PowerShell codificado en Base64 en la terminal, lo que desencadena el proceso de infección.
“Estas campañas se han hecho pasar por Samsara, AMB Logistic y Astra TMS, software que sólo se utilizarían en la gestión de operaciones de transporte y flotas”, dijo Proofpoint.
“La selección específica y los compromisos con organizaciones dentro del transporte y la logística, así como el uso de señuelos que se hacen pasar por software específicamente diseñado para operaciones de transporte y gestión de flotas, indican que el actor probablemente realiza investigaciones sobre las operaciones de la empresa objetivo antes de enviar campañas”.
La revelación se produce en medio de la aparición de varias cepas de malware ladrones como Ladrón enojado, Ladrón BLX (también conocido como ladrón de XLABB), Ladrón de Emansrepo, El ladrón de Gomorra, De lujo, Poseidón, Registrador de teclas de PowerShell, Ladrón de teclado QWERTY, Ladrón talibán, El ladrón de los Expedientes Xy una variante relacionada con CryptBot denominada Otro ladrón tonto más (¡SÍÍÍÍ!).
También se produce tras la aparición de una nueva versión del RAT RomCom, sucesor de PEAPOD (también conocido como RomCom 4.0) con nombre en código SnipBot, que se distribuye a través de enlaces falsos incrustados en correos electrónicos de phishing. Algunos aspectos de la campaña fueron destacados previamente por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en julio de 2024.
“SnipBot le da al atacante la capacidad de ejecutar comandos y descargar módulos adicionales en el sistema de la víctima”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks Yaron Samuel y Dominik Reichel. dicho.
“La carga útil inicial siempre es un descargador ejecutable enmascarado como un archivo PDF o un archivo PDF real enviado a la víctima en un correo electrónico que conduce a un ejecutable”.
Si bien los sistemas infectados con RomCom también han sido testigos de implementaciones de ransomware en el pasado, la empresa de ciberseguridad señaló la ausencia de este comportamiento, lo que aumenta la posibilidad de que la amenaza detrás del malware, Tropical Scorpius (también conocido como Void Rabisu), haya pasado de ser pura ganancia financiera al espionaje.