25 de septiembre de 2024Ravie Lakshmanan Seguridad del correo electrónico/Inteligencia contra amenazas
Las empresas de transporte y logística de América del Norte están siendo blanco de nuevas campañas de phishing que entregan diversos ladrones de información y troyanos de acceso remoto (RAT).
Según Proofpoint, este grupo de actividades aprovecha cuentas de correo electrónico legítimas comprometidas de empresas de transporte y entrega para inyectar contenido malicioso en conversaciones de correo electrónico existentes.
Se observó que hasta 15 cuentas de correo electrónico comprometidas se utilizaron como parte de la campaña de ataque. No está claro de inmediato cómo se vieron comprometidas estas cuentas ni quién está detrás del ataque.
“Las actividades que tuvieron lugar entre mayo y julio de 2024 entregaron principalmente Lumma Stealer, StealC o NetSupport”, dijo la firma de seguridad empresarial en un análisis publicado el martes.
“En agosto de 2024, los actores de amenazas cambiaron de táctica al adoptar nueva infraestructura y nuevas técnicas de entrega, agregando cargas útiles para entregar DanaBot y Arechclient2”.
La cadena de ataque implica enviar un mensaje con un archivo adjunto de acceso directo a Internet (.URL) o una URL de Google Drive que dirige a un archivo .URL. Una vez iniciado, este archivo utiliza el Bloque de mensajes del servidor (SMB) para recuperar la carga útil de la siguiente etapa que contiene malware del recurso compartido remoto.
Varias variantes de la campaña identificada en agosto de 2024 también utilizan una técnica recientemente popular llamada ClickFix para engañar a las víctimas con el pretexto de resolver problemas para ver el contenido de los documentos en los navegadores web. Intentaron descargar el malware DanaBot.
Específicamente, solicita al usuario que copie y pegue un script de PowerShell codificado en Base64 en el terminal, iniciando así el proceso de infección.
“Estos ataques se hacen pasar por Samsara, AMB Logistic y Astra TMS, que son software utilizados exclusivamente para la gestión de operaciones de transporte y vehículos”, dijo Proofpoint.
“A través de sus objetivos específicos y su compromiso de organizaciones de transporte y logística, y su uso de señuelos disfrazados de software diseñado específicamente para operaciones de carga y gestión de flotas, los atacantes son. Esto demuestra que es probable que hayan investigado un poco las operaciones de la empresa objetivo antes de enviar llevar a cabo la campaña”.
Esta exposición cubre CryptBots llamados Angry Stealer, BLX Stealer (también conocido como XLABB Stealer), Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Taliban Stealer, X-FILES Stealer y Yet Another Silly Stealer (YASS). se produce en medio de la aparición de varias cepas de malware ladrón, incluidas variantes relacionadas.
Esto también se produce tras la aparición de una nueva versión de RomCom RAT, sucesor de PEAPOD (también conocido como RomCom 4.0), con nombre en código SnipBot, que se distribuye a través de enlaces falsos incrustados en correos electrónicos de phishing. Algunos aspectos de esta campaña fueron destacados previamente por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en julio de 2024.
“SnipBot permite a los atacantes ejecutar comandos y descargar módulos adicionales en el sistema de la víctima”, dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Yaron Samuel y Dominique Reichel.
“La carga útil inicial es siempre un descargador ejecutable disfrazado de archivo PDF o un archivo PDF real que se envía por correo electrónico a la víctima y conduce a un archivo ejecutable”.
Si bien en el pasado se ha implementado ransomware en sistemas infectados por RomCom, las empresas de ciberseguridad han notado esta falta de comportamiento y creen que la amenaza detrás del malware, Tropical Scorpius (también conocido como Void Rabisu), es genuina. recurrió al espionaje para obtener beneficios económicos.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/transportation-companies-hit-by.html
