{"id":1375339,"date":"2024-09-25T08:02:24","date_gmt":"2024-09-25T08:02:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/empresas-de-transporte-sufren-ciberataques-con-malware-lumma-stealer-y-netsupport\/"},"modified":"2024-09-25T08:02:29","modified_gmt":"2024-09-25T08:02:29","slug":"empresas-de-transporte-sufren-ciberataques-con-malware-lumma-stealer-y-netsupport","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/empresas-de-transporte-sufren-ciberataques-con-malware-lumma-stealer-y-netsupport\/","title":{"rendered":"Empresas de transporte sufren ciberataques con malware Lumma Stealer y NetSupport"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>25 de septiembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad del correo electr\u00f3nico \/ Inteligencia de amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Las empresas de transporte y log\u00edstica de Am\u00e9rica del Norte son el objetivo de una nueva campa\u00f1a de phishing que distribuye una variedad de ladrones de informaci\u00f3n y troyanos de acceso remoto (RAT).<\/p>\n

El grupo de actividades, seg\u00fan Proofpoint, utiliza cuentas de correo electr\u00f3nico leg\u00edtimas comprometidas que pertenecen a empresas de transporte y env\u00edo para inyectar contenido malicioso en conversaciones de correo electr\u00f3nico existentes.<\/p>\n

Se han identificado hasta 15 cuentas de correo electr\u00f3nico vulneradas que se utilizaron como parte de la campa\u00f1a. Actualmente no est\u00e1 claro c\u00f3mo se infiltraron estas cuentas en primer lugar ni qui\u00e9n est\u00e1 detr\u00e1s de los ataques.<\/p>\n

“La actividad que se produjo entre mayo y julio de 2024 se distribuy\u00f3 principalmente con Lumma Stealer, StealC o NetSupport”, dijo la empresa de seguridad empresarial. dicho<\/a> en un an\u00e1lisis publicado el martes.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“En agosto de 2024, el actor de amenazas cambi\u00f3 de t\u00e1ctica al emplear una nueva infraestructura y una nueva t\u00e9cnica de entrega, adem\u00e1s de agregar cargas \u00fatiles para entregar DanaBot y Arechclient2”.<\/p>\n

Las cadenas de ataque implican el env\u00edo de mensajes que contienen archivos adjuntos con accesos directos a Internet (.URL) o URL de Google Drive que conducen a un archivo .URL que, cuando se ejecuta, utiliza Server Message Block (SMB) para obtener la carga \u00fatil de la siguiente etapa que contiene el malware desde un recurso compartido remoto.<\/p>\n

Algunas variantes de la campa\u00f1a observada en agosto de 2024 tambi\u00e9n se han aprovechado de una t\u00e9cnica recientemente popular llamada ClickFix para enga\u00f1ar a las v\u00edctimas para que descarguen el malware DanaBot con el pretexto de solucionar un problema con la visualizaci\u00f3n del contenido del documento en el navegador web.<\/p>\n

En concreto, se trata de instar a los usuarios a copiar y pegar un script de PowerShell codificado en Base64 en la terminal, lo que desencadena el proceso de infecci\u00f3n.<\/p>\n

“Estas campa\u00f1as se han hecho pasar por Samsara, AMB Logistic y Astra TMS, software que s\u00f3lo se utilizar\u00edan en la gesti\u00f3n de operaciones de transporte y flotas”, dijo Proofpoint.<\/p>\n

“La selecci\u00f3n espec\u00edfica y los compromisos con organizaciones dentro del transporte y la log\u00edstica, as\u00ed como el uso de se\u00f1uelos que se hacen pasar por software espec\u00edficamente dise\u00f1ado para operaciones de transporte y gesti\u00f3n de flotas, indican que el actor probablemente realiza investigaciones sobre las operaciones de la empresa objetivo antes de enviar campa\u00f1as”.<\/p>\n

La revelaci\u00f3n se produce en medio de la aparici\u00f3n de varias cepas de malware ladrones como Ladr\u00f3n enojado<\/a>, Ladr\u00f3n BLX<\/a> (tambi\u00e9n conocido como ladr\u00f3n de XLABB), Ladr\u00f3n de Emansrepo<\/a>, El ladr\u00f3n de Gomorra<\/a>, De lujo<\/a>, Poseid\u00f3n<\/a>, Registrador de teclas de PowerShell<\/a>, Ladr\u00f3n de teclado QWERTY<\/a>, Ladr\u00f3n talib\u00e1n<\/a>, El ladr\u00f3n de los Expedientes X<\/a>y una variante relacionada con CryptBot denominada Otro ladr\u00f3n tonto m\u00e1s<\/a> (\u00a1S\u00cd\u00cd\u00cd\u00cd!).<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

Tambi\u00e9n se produce tras la aparici\u00f3n de una nueva versi\u00f3n del RAT RomCom, sucesor de PEAPOD (tambi\u00e9n conocido como RomCom 4.0) con nombre en c\u00f3digo SnipBot, que se distribuye a trav\u00e9s de enlaces falsos incrustados en correos electr\u00f3nicos de phishing. Algunos aspectos de la campa\u00f1a fueron destacados previamente por el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) en julio de 2024.<\/p>\n

“SnipBot le da al atacante la capacidad de ejecutar comandos y descargar m\u00f3dulos adicionales en el sistema de la v\u00edctima”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks Yaron Samuel y Dominik Reichel. dicho<\/a>.<\/p>\n

“La carga \u00fatil inicial siempre es un descargador ejecutable enmascarado como un archivo PDF o un archivo PDF real enviado a la v\u00edctima en un correo electr\u00f3nico que conduce a un ejecutable”.<\/p>\n

Si bien los sistemas infectados con RomCom tambi\u00e9n han sido testigos de implementaciones de ransomware en el pasado, la empresa de ciberseguridad se\u00f1al\u00f3 la ausencia de este comportamiento, lo que aumenta la posibilidad de que la amenaza detr\u00e1s del malware, Tropical Scorpius (tambi\u00e9n conocido como Void Rabisu), haya pasado de ser pura ganancia financiera al espionaje.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n