Les entreprises de transport et de logistique en Amérique du Nord sont la cible d’une nouvelle campagne de phishing qui diffuse une variété de voleurs d’informations et de chevaux de Troie d’accès à distance (RAT).
Le groupe d’activités, selon Proofpoint, utilise des comptes de messagerie légitimes compromis appartenant à des sociétés de transport et d’expédition afin d’injecter du contenu malveillant dans les conversations par courrier électronique existantes.
Pas moins de 15 comptes de messagerie piratés ont été identifiés comme ayant été utilisés dans le cadre de cette campagne. On ne sait pas encore clairement comment ces comptes ont été infiltrés ni qui se cache derrière ces attaques.
« L’activité qui s’est déroulée de mai à juillet 2024 a principalement consisté en Lumma Stealer, StealC ou NetSupport », a déclaré la société de sécurité d’entreprise dit dans une analyse publiée mardi.
« En août 2024, l’acteur malveillant a changé de tactique en employant une nouvelle infrastructure et une nouvelle technique de livraison, ainsi qu’en ajoutant des charges utiles pour livrer DanaBot et Arechclient2. »
Les chaînes d’attaque impliquent l’envoi de messages contenant des pièces jointes de raccourcis Internet (.URL) ou des URL Google Drive menant à un fichier .URL qui, une fois lancé, utilise Server Message Block (SMB) pour récupérer la charge utile de l’étape suivante contenant le malware à partir d’un partage distant.
Certaines variantes de la campagne observées en août 2024 se sont également accrochées à une technique récemment populaire appelée ClickFix pour inciter les victimes à télécharger le malware DanaBot sous prétexte de résoudre un problème d’affichage du contenu du document dans le navigateur Web.
Plus précisément, il s’agit d’inciter les utilisateurs à copier et coller un script PowerShell codé en Base64 dans le terminal, déclenchant ainsi le processus d’infection.
« Ces campagnes ont usurpé l’identité de Samsara, AMB Logistic et Astra TMS, des logiciels qui ne seraient utilisés que dans la gestion des transports et des opérations de flotte », a déclaré Proofpoint.
« Le ciblage spécifique et les compromissions des organisations du secteur du transport et de la logistique, ainsi que l’utilisation de leurres se faisant passer pour des logiciels spécifiquement conçus pour les opérations de fret et la gestion de flotte, indiquent que l’acteur effectue probablement des recherches sur les opérations de l’entreprise ciblée avant d’envoyer des campagnes. »
Cette révélation intervient dans un contexte d’émergence de diverses souches de logiciels malveillants voleurs telles que Voleur en colère, Voleur BLX (alias Voleur XLABB), Voleur d’Emansrepo, Le voleur de Gomorrhe, Luxueux, Poséidon, Enregistreur de frappe PowerShell, Voleur QWERTY, Voleur de talibans, Voleur de X-FILESet une variante liée à CryptBot surnommée Encore un autre voleur idiot (OUAIS).
Elle fait également suite à l’émergence d’une nouvelle version du RAT RomCom, successeur de PEAPOD (alias RomCom 4.0) sous le nom de code SnipBot, qui est distribué via de faux liens intégrés dans des e-mails de phishing. Certains aspects de la campagne ont déjà été mis en évidence par l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) en juillet 2024.
« SnipBot donne à l’attaquant la possibilité d’exécuter des commandes et de télécharger des modules supplémentaires sur le système d’une victime », expliquent les chercheurs Yaron Samuel et Dominik Reichel de l’unité 42 de Palo Alto Networks. dit.
« La charge utile initiale est toujours soit un téléchargeur exécutable masqué en fichier PDF, soit un fichier PDF réel envoyé à la victime dans un e-mail qui mène à un exécutable. »
Bien que les systèmes infectés par RomCom aient également été témoins de déploiements de ransomwares dans le passé, la société de cybersécurité a souligné l’absence de ce comportement, soulevant la possibilité que la menace derrière le malware, Tropical Scorpius (alias Void Rabisu), soit passée du pur gain financier à l’espionnage.