I ricercatori di Proofpoint hanno rilevato una serie di attività che colpisce aziende di trasporto e logistica per distribuire diversi payload malware, sfruttando account e-mail legittimi compromessi che appartengono a società di trasporti e spedizioni. Al momento non è chiaro come l’attore riesca ad accedere agli account compromessi, ma inietta contenuti dannosi nelle conversazioni esistenti nella casella di posta, facendo apparire i messaggi come legittimi. Proofpoint ha identificato almeno 15 account compromessi utilizzati durante queste campagne.
I ricercatori stanno monitorando questo cluster di attività da fine maggio 2024, distribuendo fino allo scorso luglio prevalentemente Lumma Stealer, StealC o NetSupport. Ad agosto, invece, l’attore della minaccia ha cambiato tattica, impiegando una nuova infrastruttura e una nuova tecnica di consegna, oltre ad aggiungere payload per diffondere DanaBot e Arechclient2.
La maggior parte delle campagne utilizza messaggi con URL di Google Drive che conducono a un link o un file .URL allegato. Se eseguito, utilizza SMB per accedere a un eseguibile dalla condivisione remota, che installa il malware.
Le campagne che colpiscono la logistica sono molto mirate, includono in genere meno di 20 messaggi e colpiscono un numero limitato di aziende, tutte appartenenti al settore dei trasporti/logistica in Nord America.
Nell’agosto del 2024, l’attore ha iniziato a utilizzare la tecnica “ClickFix” per diffondere malware. I messaggi contenevano URL che indirizzavano gli utenti attraverso varie finestre di dialogo che li portavano a copiare, incollare ed eseguire uno script PowerShell codificato Base64 contenuto nell’HTML. Gli script conducevano a un file MSI utilizzato per caricare DanaBot.
Al momento Proofpoint non attribuisce queste attività a un attore di minacce identificato. Tecniche e infrastrutture simili associate a ClickFix e alla combinazione di URL di Google Drive, file .URL e SMB sono state utilizzate da altri attori e campagne di minacce. I ricercatori ritengono che l’attore delle minacce stia acquistando questa infrastruttura da fornitori di terze parti.
Sulla base dell’attività di accesso iniziale osservata, dell’invio di malware e dell’infrastruttura, Proofpoint ritiene con moderata sicurezza che sia in linea con gli obiettivi di criminali informatici motivati finanziariamente.
Come spiegano i ricercatori: “Gli attori delle minacce stanno sempre più adattando le esche in modo che siano più realistiche per invogliare i destinatari a cliccare su un link o a scaricare allegati. La compromissione di account e-mail legittimi e l’invio di link e allegati pericolosi in una conversazione esistente raggiungono questo obiettivo, aumentando il rischio che i destinatari installino malware.”
Il fatto che siano state prese di mira e compromesse aziende del settore di trasporti e logistica, e l’uso di esche che impersonano software specificamente progettati per le operazioni di trasporto e gestione delle flotte, indica che l’attore probabilmente conduce ricerche sulle attività dell’azienda target prima di avviare le campagne. Anche il linguaggio utilizzato nelle esche e nei contenuti indica una certa familiarità con i flussi di lavoro aziendali tradizionali.
“Gli attori delle minacce stanno sviluppando tecniche di social engineering e di accesso iniziale più sofisticate lungo tutta la catena di attacco e si affidano maggiormente a malware commodity invece che a payload complessi e unici,” continuano i ricercatori. “Gli operatori del settore dei trasporti e della logistica, e gli utenti in generale, dovrebbero prestare attenzione alle e-mail provenienti da mittenti noti che si discostano dalle attività o contenuti consueti, in particolare se abbinate a link e tipi di file dall’aspetto insolito. Quando vi si imbattono, dovrebbero contattare il mittente utilizzando altri mezzi per confermarne l’autenticità.”