Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
introduzione
I criminali informatici stanno aiutando i gruppi tradizionali della criminalità organizzata a rubare beni fisici tramite il dirottamento dei carichi.
I ricercatori dell’azienda di sicurezza informatica Proofpoint hanno recentemente individuato campagne dannose attive che coinvolgono hacker che prendono di mira il settore dei trasporti, in particolare le aziende di autotrasporti e logistica, nel Nord America.
La tecnica di infezione da loro scelta prevedeva l’utilizzo di strumenti di gestione del monitoraggio remoto (RMM) e software di accesso remoto (RAS) per ottenere l’accesso ai sistemi delle vittime.
Catena di attacco: ingegneria sociale, RMM e raccolta di credenziali
In un rapporto del 3 novembre, Proofpoint ha rivelato che il gruppo di minacce coinvolto nel sospetto furto di merci è attivo almeno da giugno 2025, con ulteriori prove che suggeriscono che le campagne del gruppo sono iniziate già a gennaio 2025.
La tipica catena di attacco inizia con tre trucchi di ingegneria sociale per entrare nei sistemi dei bersagli infetti. Questi includono:
Le e-mail dannose contengono URL che rimandano a un file eseguibile (.exe) o MSI (.msi) che, se cliccato, installa uno strumento RMM, garantendo all’autore della minaccia il controllo completo della macchina compromessa.
“In alcuni casi, l’autore della minaccia creerà domini e landing page che impersonano marchi legittimi o termini di trasporto generici per aumentare la credibilità dell’ingegneria sociale”, hanno osservato i ricercatori di Proofpoint.
Gli strumenti RMM e RAS implementati sui sistemi presi di mira includono ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able e LogMeIn Resolve, talvolta utilizzati insieme.
Una volta stabilito l’accesso iniziale, l’aggressore esegue una ricognizione del sistema e della rete e utilizza strumenti di raccolta delle credenziali, come WebBrowserPassView.
“Questa attività indica uno sforzo più ampio per compromettere gli account e approfondire l’accesso all’interno di ambienti mirati”, hanno scritto i ricercatori.
Sovrapposizioni con campagne precedenti
I ricercatori hanno identificato infrastrutture di rete correlate e tattiche, tecniche e procedure (TTP) simili nelle campagne che distribuivano NetSupport e ScreenConnect a partire da gennaio 2025, “suggerendo una tempistica operativa più lunga”, si legge nel rapporto di Proofpoint.
Queste campagne hanno anche mostrato alcune sovrapposizioni con attività dannose registrate tra il 2024 e marzo 2025, quando un autore della minaccia ha distribuito una serie di infostealer, tra cui DanaBot, NetSupport, Lumma Stealer e StealC nei sistemi delle organizzazioni di trasporto terrestre.
Tuttavia, i ricercatori di Proofpoint non sono riusciti a confermare con elevata sicurezza se questi gruppi di attività siano correlati.
“Tutti sembrano avere conoscenze sui software, sui servizi e sulle politiche che regolano il funzionamento della catena di fornitura del carico”, hanno scritto i ricercatori.
Il rapporto ha inoltre evidenziato che, se questi cluster di attività provengono dallo stesso gruppo, l’uso di strumenti RMM al posto degli infostealer nelle ultime campagne potrebbe suggerire una sofisticazione nelle tecniche impiegate.
“Stealer e RMM hanno lo stesso scopo: accedere da remoto al bersaglio per rubare informazioni. Tuttavia, l’utilizzo di strumenti RMM può consentire agli autori delle minacce di passare inosservati. Gli autori delle minacce possono creare e distribuire strumenti di monitoraggio remoto di proprietà dell’aggressore e, poiché vengono spesso utilizzati come software legittimi, gli utenti finali potrebbero essere meno sospettosi nell’installare RMM rispetto ad altri trojan di accesso remoto”, hanno scritto i ricercatori di Proofpoint.
“Inoltre, tali strumenti potrebbero eludere i rilevamenti antivirus o di rete perché gli installer sono spesso payload legittimi e firmati, distribuiti in modo dannoso.”
Furto di merci tramite cyber-spionaggio: un problema globale
Proofpoint ha osservato quasi due dozzine di campagne rivolte alle aziende di trasporto merci nordamericane tra settembre e ottobre 2025, con volumi che vanno da meno di 10 a oltre 1000 messaggi per campagna.
I ricercatori hanno inoltre valutato “con elevata sicurezza” che questo gruppo minaccioso collabora con gruppi criminali organizzati, che probabilmente sfruttano il loro accesso per fare offerte sulle spedizioni di merci e poi rubarle e rivenderle.
Nel rapporto, Proofpoint ha anche osservato che, mentre le ultime campagne osservate hanno preso di mira le aziende nordamericane, i furti di merci tramite cyber-sfruttamento sono in aumento in tutto il mondo, anche in zone calde del trasporto merci come Brasile, Cile, Germania, India, Messico, Sudafrica e Stati Uniti.
Secondo il National Insurance Crime Bureau, il furto di merci causa perdite per 34 miliardi di dollari all’anno. Le tecniche di intrusione informatica contribuiscono in modo significativo a queste perdite, secondo un rapporto del luglio 2025 di IMC Logistics e dell’American Trucking Associations.
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube