Phishing mira empresas de transporte e logística
25 de Setembro de 2024

Empresas de transporte e logística na América do Norte estão sendo o alvo de uma nova campanha de phishing que entrega uma variedade de ladrões de informações e trojans de acesso remoto (RATs).

O conjunto de atividades, segundo a Proofpoint, utiliza contas legítimas de email comprometidas pertencentes a empresas de transporte e envio para injetar conteúdo malicioso em conversas de email existentes.

Foram identificadas até 15 contas de email violadas usadas como parte da campanha.

Atualmente, não está claro como essas contas são infiltradas inicialmente ou quem está por trás dos ataques.

"A atividade que ocorreu de maio a julho de 2024 predominou na entrega de Lumma Stealer, StealC ou NetSupport," disse a firma de segurança empresarial em uma análise publicada na terça-feira(24).

Em agosto de 2024, o agente de ameaça mudou de tática ao empregar nova infraestrutura e nova técnica de entrega, além de adicionar payloads para entregar DanaBot e Arechclient2.

As cadeias de ataque envolvem o envio de mensagens com anexos de atalho de internet (.URL) ou URLs do Google Drive que levam a um arquivo .URL que, quando lançado, usa o Server Message Block (SMB) para buscar o payload da próxima fase contendo o malware de um compartilhamento remoto.

Algumas variantes da campanha observadas em agosto de 2024 também adotaram uma técnica recentemente popular chamada ClickFix para enganar as vítimas a baixar o malware DanaBot sob o pretexto de abordar um problema com a exibição do conteúdo do documento no navegador da web.

Especificamente, isso envolve instar os usuários a copiar e colar um script PowerShell codificado em Base64 no terminal, desencadeando assim o processo de infecção.

"Estas campanhas têm se passado por Samsara, AMB Logistic e Astra TMS – softwares que seriam usados apenas na gestão de operações de transporte e frota," disse a Proofpoint.

O direcionamento específico e os comprometimentos de organizações dentro do transporte e logística, bem como o uso de iscas que se passam por softwares especificamente projetados para operações de carga e gestão de frota, indicam que o ator provavelmente conduz pesquisas sobre as operações da empresa alvo antes de enviar as campanhas.

A divulgação ocorre no meio do surgimento de várias cepas de malware stealer como Angry Stealer, BLX Stealer (conhecido também como XLABB Stealer), Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Taliban Stealer, X-FILES Stealer e uma variante relacionada ao CryptBot chamada Yet Another Silly Stealer (YASS).

Isto também segue a emergência de uma nova versão do RomCom RAT, um sucessor do PEAPOD (conhecido como RomCom 4.0) codinome SnipBot que é distribuído via links falsos embutidos em emails de phishing.

Alguns aspectos da campanha foram previamente destacados pelo Computer Emergency Response Team da Ucrânia (CERT-UA) em julho de 2024.

"O SnipBot dá ao atacante a capacidade de executar comandos e baixar módulos adicionais no sistema da vítima," disseram os pesquisadores Yaron Samuel e Dominik Reichel da Palo Alto Networks Unit 42.

O payload inicial é sempre um downloader executável disfarçado como um arquivo PDF ou um arquivo PDF real enviado à vítima em um e-mail que leva a um executável.

Enquanto sistemas infectados com RomCom também testemunharam implantações de ransomware no passado, a empresa de cibersegurança apontou a ausência desse comportamento, levantando a possibilidade de que a ameaça por trás do malware, Tropical Scorpius (também conhecido como Void Rabisu), tenha mudado de ganho financeiro puro para espionagem.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...