Empresas de transporte e logística na América do Norte são alvo de uma nova campanha de phishing que distribui uma variedade de ladrões de informações e cavalos de Troia de acesso remoto (RATs).
O cluster de atividades, segundo a Proofpoint, faz uso de contas de e-mail legítimas comprometidas pertencentes a empresas de transporte e remessa para injetar conteúdo malicioso em conversas de e-mail existentes.
Cerca de 15 contas de e-mail violadas foram identificadas como usadas como parte da campanha. Atualmente, não está claro como essas contas são infiltradas em primeiro lugar ou quem está por trás dos ataques.
“A atividade que ocorreu de maio a julho de 2024 predominantemente transmitiu Lumma Stealer, StealC ou NetSupport”, disse a empresa de segurança corporativa em uma análise publicada na terça-feira.
“Em agosto de 2024, o agente da ameaça mudou de tática ao empregar uma nova infraestrutura e uma nova técnica de entrega, além de adicionar cargas úteis para entregar DanaBot e Arechclient2.”
As cadeias de ataque envolvem o envio de mensagens contendo anexos de atalhos da Web (.URL) ou URLs do Google Drive que levam a um arquivo .URL que, quando iniciado, usa o Server Message Block (SMB) para buscar a carga útil do próximo estágio contendo o malware de um compartilhamento remoto.
Algumas variantes da campanha observadas em agosto de 2024 também se apegaram a uma técnica recentemente well-liked chamada ClickFix para enganar as vítimas e fazê-las baixar o malware DanaBot sob o pretexto de resolver um problema com a exibição do conteúdo do documento no navegador da net.
Especificamente, isso envolve pedir aos usuários que copiem e colem um script do PowerShell codificado em Base64 no terminal, acionando assim o processo de infecção.
“Essas campanhas personificaram Samsara, AMB Logistic e Astra TMS – softwares que seriam usados apenas em transporte e gerenciamento de operações de frotas”, disse a Proofpoint.
“A segmentação específica e os comprometimentos de organizações de transporte e logística, bem como o uso de iscas que se passam por softwares projetados especificamente para operações de frete e gerenciamento de frotas, indicam que o agente provavelmente realiza pesquisas sobre as operações da empresa visada antes de enviar campanhas.”
A divulgação ocorre em meio ao surgimento de várias cepas de malware stealer, como Offended Stealer, BLX Stealer (também conhecido como XLABB Stealer), Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Taliban Stealer, X-FILES Stealer e uma variante relacionada ao CryptBot chamada But One other Foolish Stealer (YASS).
Também segue o surgimento de uma nova versão do RomCom RAT, um sucessor do PEAPOD (também conhecido como RomCom 4.0) com o codinome SnipBot que é distribuído por meio de hyperlinks falsos incorporados em e-mails de phishing. Alguns aspectos da campanha foram destacados anteriormente pela Laptop Emergency Response Group of Ukraine (CERT-UA) em julho de 2024.
“O SnipBot dá ao invasor a capacidade de executar comandos e baixar módulos adicionais no sistema da vítima”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Yaron Samuel e Dominik Reichel.
“A carga inicial é sempre um downloader executável mascarado como um arquivo PDF ou um arquivo PDF actual enviado à vítima em um e-mail que leva a um executável.”
Embora os sistemas infectados com RomCom também tenham testemunhado implantações de ransomware no passado, a empresa de segurança cibernética destacou a ausência desse comportamento, levantando a possibilidade de que a ameaça por trás do malware, Tropical Scorpius (também conhecido como Void Rabisu), tenha mudado de puro ganho financeiro para espionagem.
