Le aziende di trasporto e logistica in Nord America sono l’obiettivo di una nuova campagna di phishing che distribuisce una varietà di informazioni rubate e trojan di accesso remoto (RAT).
Il gruppo di attività, secondo Proofpoint, utilizza account email legittimi compromessi appartenenti a società di trasporto e spedizione per inserire contenuti dannosi in conversazioni email già esistenti.
Ditte di trasporto nel Nord America e malware: ecco cosa è accaduto
Sono stati identificati fino a 15 account email violati come parte della campagna. Attualmente non è chiaro come questi account vengano inizialmente compromessi o chi ci sia dietro agli attacchi.
“Le attività che si sono verificate da maggio a luglio 2024 hanno prevalentemente distribuito Lumma Stealer, StealC o NetSupport,” ha dichiarato la società di sicurezza aziendale in un’analisi pubblicata martedì e ha poi aggiunto: “Nell’agosto 2024, il criminale informatico [o gruppo di criminali informatici] ha cambiato tattica impiegando nuove infrastrutture e una nuova tecnica di distribuzione, aggiungendo anche payload per distribuire DanaBot e Arechclient2.“
Le catene di attacco comportano l’invio di messaggi con allegati di collegamento internet (.URL) o URL di Google Drive che portano a un file .URL che, una volta avviato, utilizza il Server Message Block (SMB) per recuperare il payload di fase successiva contenente il malware da una condivisione remota.
Alcune varianti della campagna osservate nell’agosto 2024 hanno anche sfruttato una tecnica recentemente popolare chiamata ClickFix per ingannare le vittime inducendole a scaricare il malware DanaBot con il pretesto di risolvere un problema relativo alla visualizzazione del contenuto del documento nel browser web (per farla breve, non è una pratica così dissimile da quella dei famigerati link ingannevoli).
In particolare, questo comporta l’incitamento agli utenti a copiare e incollare uno script PowerShell codificato in Base64 nel terminale, innescando così il processo di infezione.
Le ditte di trasporto che sono state prese di mira
“Queste campagne hanno impersonato Samsara, AMB Logistic e Astra TMS – software che verrebbero utilizzati solo nella gestione delle operazioni di trasporto e flotte,” ha detto Proofpoint, aggiungendo poi; “Il targeting specifico e i compromessi di organizzazioni nel settore del trasporto e della logistica, così come l’uso di esche che impersonano software specificamente progettati per le operazioni di trasporto merci e la gestione delle flotte, indicano che l’autore (o autori) probabilmente effettua ricerche sulle operazioni delle aziende target prima di inviare le campagne.“
La rivelazione arriva in un momento in cui emergono vari tipi di malware per il furto di informazioni come Angry Stealer, BLX Stealer (noto anche come XLABB Stealer), Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Taliban Stealer, X-FILES Stealer e una variante di CryptBot soprannominata Yet Another Silly Stealer (YASS).
Tra le altre cose, segue l’emergere di una nuova versione del RomCom RAT, un successore di PEAPOD (noto anche come RomCom 4.0) chiamato SnipBot, distribuito tramite collegamenti falsi inseriti in email di phishing; alcuni aspetti della campagna erano stati precedentemente evidenziati dal Computer Emergency Response Team dell’Ucraina (CERT-UA) nel luglio 2024.
“SnipBot fornisce all’attaccante la capacità di eseguire comandi e scaricare moduli aggiuntivi sul sistema della vittima“, hanno dichiarato i ricercatori Yaron Samuel e Dominik Reichel di Palo Alto Networks Unit 42, che ha poi dichiarato: “Il payload iniziale è sempre o un downloader eseguibile mascherato da file PDF o un vero file PDF inviato alla vittima via email che porta a un eseguibile.“
Sebbene i sistemi infettati con RomCom abbiano anche visto implementazioni di ransomware in passato, la società di sicurezza informatica ha sottolineato l’assenza di questo comportamento, sollevando la possibilità che la minaccia dietro il malware, Tropical Scorpius (noto anche come Void Rabisu), si sia spostata dal guadagno finanziario puro allo spionaggio.
E tu cosa ne pensi di questo attacco a ditte di trasporto? Scrivilo sui commenti.
