search feed
Banner Pubblicitario Animato

Le aziende di trasporti e logistica del Nord America sono il bersaglio di una nuova campagna di phishing che diffonde una serie di malware infostealer e trojan di accesso remoto (RAT).

Secondo Proofpoint, il cluster di attività malevole sfrutta account di posta elettronica legittimi compromessi, appartenenti ad aziende di trasporto e spedizione, per iniettare contenuti dannosi all’interno delle conversazioni esistenti.

Sono stati identificati ben 15 account email violati, utilizzati come parte della campagna. Al momento non è chiaro come questi account siano stati filtrati o chi ci sia dietro gli attacchi.

L’attività svolta da maggio a luglio 2024 ha portato principalmente alla diffusione di Lumma Stealer, StealC o NetSupport, ha affermato l’azienda di sicurezza aziendale in un’analisi pubblicata martedì.

Nell’agosto 2024, l’autore della minaccia ha cambiato tattica utilizzando una nuova infrastruttura e una nuova tecnica di distribuzione, oltre ad aggiungere un payload per distribuire DanaBot e Arechclient2.

Le catene di attacco prevedono l’invio di messaggi con allegati collegamenti Internet (.URL) o URL di Google Drive che portano a un file .URL che, una volta avviato, utilizza Server Message Block (SMB) per recuperare il payload di fase successiva contenente il malware da una condivisione remota.

Banner Pubblicitario

Alcune varianti della campagna osservate nell’agosto 2024 hanno sfruttato anche una tecnica recentemente popolare chiamata ClickFix per indurre le vittime a scaricare il malware DanaBot con l’avviso di risolvere un problema di visualizzazione del contenuto del documento nel browser web.

Nello specifico, si tratta di invitare gli utenti a copiare e incollare uno script PowerShell codificato in Base64 nel terminale, innescando così il processo di infezione.

Queste campagne hanno impersonato Samsara, AMB Logistic e Astra TMS, software che verrebbero utilizzati solo nella gestione delle operazioni di trasporto e di flotta”, ha affermato Proofpoint.

Gli attacchi mirati e le compromissioni di specifiche organizzazioni nei settori dei trasporti e della logistica, nonché l’uso di esche che impersonano software specificamente progettati per le operazioni di trasporto merci e la gestione della flotta, indicano che è probabile che l’autore conduca ricerche e information gathering sulle operazioni dell’azienda presa di mira prima di inviare campagne.

La divulgazione avviene in un momento in cui emergono alcune campagne di malware stealer come Angry Stealer , BLX Stealer (noto anche come XLABB Stealer), Emansrepo Stealer , Gomorrah Stealer , Luxy , Poseidon , PowerShell Keylogger , QWERTY Stealer , Taliban Stealer , X-FILES Stealer e una variante correlata a CryptBot denominata Yet Another Silly Stealer (YASS).

Segue anche l’emergere di una nuova versione del RomCom RAT, successore di PEAPOD (alias RomCom 4.0) nome in codice SnipBot, distribuito tramite link fasulli incorporati in email di phishing. Alcuni aspetti della campagna erano stati precedentemente evidenziati dal Computer Emergency Response Team of Ukraine (CERT-UA) nel luglio 2024.

SnipBot consente all’aggressore di eseguire comandi e scaricare moduli aggiuntivi sul sistema della vittima”, hanno affermato Yaron Samuel e Dominik Reichel, ricercatori dell’Unità 42 di Palo Alto Networks .

“Il payload iniziale è sempre un downloader eseguibile mascherato da file PDF oppure un file PDF effettivo inviato alla vittima tramite e-mail che porta a un eseguibile.”

Sebbene in passato i sistemi infettati da RomCom siano stati oggetto di attacchi ransomware, l’azienda di sicurezza informatica ha sottolineato l’assenza di questo comportamento, sollevando la possibilità che la minaccia dietro il malware, Tropical Scorpius (noto anche come Void Rabisu), sia passata dal puro guadagno finanziario allo spionaggio governativo e industriale.

Seguici anche su:

Banner Pubblicitario

@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/company/hackerpunk
@FACEBOOK https://www.facebook.com/hackerpunk2019
@EBOOK
https://amzn.eu/d/6dcujGr
@EBOOK (English version)
https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ

 

Banner Pubblicitario Animato

Di HPadmin