Una nuova campagna di phishing sta prendendo di mira il settore della logistica e dei trasporti in Nord America. Scoperta recentemente dai ricercatori di Proofpoint, questa campagna di attacchi mirati sfrutta account email legittimi compromessi che appartengono a società di trasporti e spedizioni per distribuire malware.
Non è ancora chiaro come l’attore delle minacce riesca ad accedere agli account compromessi, ma il suo modus operandi è quello di iniettare contenuti dannosi nelle conversazioni esistenti nella casella di posta, facendo apparire i messaggi come legittimi. Proofpoint ha identificato almeno 15 account compromessi utilizzati durante queste campagne.
L’attore utilizza tecniche di phishing per ingannare le vittime a installare malware
I ricercatori stanno monitorando le attività sospette da fine maggio 2024. Fino allo scorso luglio, l’attore ha distribuito tramite la campagna malware appartenente alle famiglie Lumma Stealer, StealC o NetSupport. Ad agosto, invece, ha cambiato tattica, impiegando una nuova infrastruttura e una nuova tecnica di malware delivery, oltre ad aggiungere payload per diffondere DanaBot e Arechclient2. Si tratta in tutti i casi, di malware destinati a piattaforme Windows.
In agosto 2024, l’attore ha iniziato a utilizzare la tecnica “ClickFix” per diffondere malware. I messaggi contenevano indirizzi URL che indirizzavano gli utenti attraverso varie finestre di dialogo, portandoli infine a copiare, incollare ed eseguire uno script PowerShell, eseguibile su macchine Windows, codificato Base64 per offuscarlo contenuto nella pagina web visualizzata. Gli script conducevano a un file MSI (eseguibile) utilizzato per caricare DanaBot.
La maggior parte delle campagne utilizza messaggi con URL di Google Drive che conducono a un link o un file allegato. Se eseguito, utilizza SMB, il protocollo di condivisione file di Windows, per accedere a un eseguibile dalla condivisione remota, che installa il malware.
Proofpoint non è ancora in grado di stabilire chi sia l’attore delle minacce. Tuttavia, dato che tecniche e infrastrutture simili associate a ClickFix e la combinazione di URL di Google Drive, file .URL e SMB sono state utilizzate da altri attori e campagne di minacce, sospetta che l’attore delle minacce stia acquistando questa infrastruttura da fornitori di terze parti.
Campagne mirate e motivate dal guadagno
Sulla base dell’attività di accesso iniziale osservata, dell’invio di malware e dell’infrastruttura, Proofpoint ritiene con moderata sicurezza che l’attore delle minacce sia motivato da questioni di natura finanziaria.
“Gli attori delle minacce stanno sempre più adattando le esche in modo che siano più realistiche per invogliare i destinatari a cliccare su un link o a scaricare allegati. La compromissione di account e-mail legittimi e l’invio di link e allegati pericolosi in una conversazione esistente raggiungono questo obiettivo, aumentando il rischio che i destinatari installino malware”, spiegano i ricercatori di Proofpoint.
Il fatto che questa campagna di phishing stia prendendo di mira il settore della logistica e dei trasporti nordamericano, e l’uso di esche che impersonano software specificamente progettati per le operazioni di trasporto e gestione delle flotte, indica che l’attore probabilmente conduce ricerche sulle attività dell’azienda target prima di mettere in atto i suoi attacchi. Anche il linguaggio utilizzato nelle esche e nei contenuti indica una certa familiarità con i flussi di lavoro aziendali tradizionali.
“Gli attori delle minacce stanno sviluppando tecniche di social engineering e di accesso iniziale più sofisticate lungo tutta la catena di attacco e si affidano maggiormente a malware commodity invece che a payload complessi e unici,” continuano i ricercatori. “Gli operatori del settore dei trasporti e della logistica, e gli utenti in generale, dovrebbero prestare attenzione alle e-mail provenienti da mittenti noti che si discostano dalle attività o contenuti consueti, in particolare se abbinate a link e tipi di file dall’aspetto insolito. Quando vi si imbattono, dovrebbero contattare il mittente utilizzando altri mezzi per confermarne l’autenticità”.
Per maggiori informazioni sulla nuova minaccia, vi invitiamo a consultare il blogpost relativo sul sito ufficiale di Proofpoint.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🗞️Dreamforce 2024 ecco tutte le novità annunciate da Salesforce
📰Oracle CloudWorld Chiama Italia edizione 2024
📈Il futuro della fiscalità passa attraverso la tecnologia; 7 trend tech del settore
🚗La sicurezza dei veicoli connessi parte dalle identità digitali
🎧 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
