Transportne i logističke kompanije u Sjevernoj Americi meta su nove phishing kampanje koja isporučuje razne kradljivce informacija i trojanske programe za daljinski pristup (RAT).
Klaster aktivnosti, prema Proofpoint-u, koristi kompromitovane legitimne naloge e-pošte koji pripadaju transportnim i špedicijskim kompanijama kako bi ubacio maliciozni sadržaj u postojeće razgovore e-pošte.
Čak 15 provaljenih email naloga je identifikovano kao deo kampanje. Trenutno nije jasno kako su ovi računi uopće infiltrirani ili ko stoji iza napada.
“Aktivnost koja se dogodila od maja do jula 2024. uglavnom je isporučila Lumma Stealer, StealC ili NetSupport”, navodi se u analizi koja je objavljena u utorak.
“U avgustu 2024., akter prijetnje promijenio je taktiku koristeći novu infrastrukturu i novu tehniku isporuke, kao i dodavanje tereta za isporuku DanaBota i Arechclient2.”
Lanci napada uključuju slanje poruka koje sadrže privitke internetskih prečica (.URL) ili URL-ove Google diska koji vode do .URL datoteke koja kada se pokrene, koristi blok poruka servera (SMB) za preuzimanje sljedećeg stupnja korisnog opterećenja koji sadrži maliciozni softver sa udaljenog dijeljenja.
Neke varijante kampanje uočene u augustu 2024. također su koristile nedavno popularnu tehniku nazvanu ClickFix kako bi prevarili žrtve da preuzmu maliciozni softver DanaBot pod izgovorom rješavanja problema s prikazivanjem sadržaja dokumenta u web pretraživaču.
Konkretno, ovo uključuje podsticanje korisnika da kopiraju i zalijepe PowerShell skriptu kodiranu u Base64 u terminal, čime se pokreće proces infekcije.
„Ove kampanje su oponašale Samsara, AMB Logistic i Astra TMS – softver koji bi se koristio samo u upravljanju transportom i flotom“, rekao je Proofpoint.
„Specifično ciljanje i kompromisi organizacija unutar transporta i logistike, kao i upotreba mamaca koji oponašaju softver posebno dizajniran za teretne operacije i upravljanje flotom, ukazuje na to da haker vjerovatno provodi istraživanje o operacijama ciljane kompanije prije nego što pošalje kampanje.”
Otkrivanje dolazi usred pojave različitih vrsta malicioznog softvera kao što su Angry Stealer , BLX Stealer (aka XLABB Stealer), Emansrepo Stealer , Gomorrah Stealer , Luxy , Poseidon , PowerShell Keylogger , QWERTY Stealer , Taliban Stealer , X-FILES i Stealer. Varijanta vezana za CryptBot nazvana Yet Another Silly Stealer (YASS).
Takođe prati pojavu nove verzije RomCom RAT-a, nasljednika PEAPOD-a (aka RomCom 4.0) kodnog imena SnipBot koji se distribuira putem lažnih veza ugrađenih u phishing emailove. Neke aspekte kampanje je prethodno istakao ukrajinski tim za kompjuterske hitne slučajeve (CERT-UA) u julu 2024.
“SnipBot daje napadaču mogućnost da izvrši komande i preuzme dodatne module na sistem žrtve”, rekli su istraživači Palo Alto Networks Unit 42 Yaron Samuel i Dominik Reichel .
“Početno opterećenje je uvijek ili izvršni program za preuzimanje maskiran kao PDF fajl ili stvarni PDF fajl koji se šalje žrtvi u e-poruci koja vodi do izvršne datoteke.”
Dok su sistemi zaraženi RomCom-om također bili svjedoci postavljanja ransomware-a u prošlosti, kompanija za cyber sigurnost je istakla odsustvo ovakvog ponašanja, podižući mogućnost da se prijetnja koja stoji iza malicioznog softvera, Tropical Scorpius (aka Void Rabisu), premjestila sa čiste finansijske dobiti na špijunaža.
Izvor:The Hacker News