Proofpoint ha rastreado actividades dirigidas a empresas de transporte y logística para distribuir una variedad de diferentes payloads de malware. Los ciberdelincuentes se aprovechaban de cuentas de correo electrónico legítimas comprometidas de empresas de estos sectores, inyectando contenido malicioso en las conversaciones existentes en la bandeja de entrada, lo que hacía que los mensajes pareciesen legítimos.
Los investigadores han estado rastreando esta actividad desde finales de mayo de 2024 en Norteamérica. Hasta julio, se entregó principalmente Lumma Stealer, StealC o NetSupport. Pero, en agosto, los atacantes cambiaron de táctica empleando una nueva infraestructura y una nueva técnica de entrega, además de añadir payloads para entregar DanaBot y Arechclient2.
La mayoría de las campañas utilizaban mensajes con enlaces de Google Drive que conducen a un archivo de acceso directo a Internet (.URL) o a un archivo .URL adjunto al mensaje y, de ahí, se accede a un ejecutable desde el recurso compartido remoto que instala el malware. Los ciberdelincuentes solían incluir menos de 20 mensajes con los que afectaban a un número reducido de clientes. También reproducían la técnica “ClickFix”» para distribuir malware: los mensajes contenían una URL que dirigían a los usuarios a través de varios cuadros de diálogo que llevaban a copiar, pegar y ejecutar un script PowerShell codificado en Base64 y contenido en el HTML. Los scripts conducían a un archivo MSI utilizado para cargar DanaBot.
Otros ciberdelincuentes se hacían pasar por actualizaciones de Word o Chrome en sus amenazas, mientras que en esta investigación suplantaban Samsara, AMB Logistic, y Astra TMS (un software que solo se utilizaría en el transporte y la gestión de operaciones de flota.
“Desde Proofpoint no atribuimos actualmente este grupo de actividad a un agente de amenaza identificado. Se han observado técnicas e infraestructuras similares asociadas con ClickFix y la combinación de URL de Google Drive, archivos .URL y SMB, usadas por otros ciberdelincuentes y campañas, aunque este atacante en concreto adquiere su infraestructura de proveedores terceros”, señala el equipo de investigación de amenazas de esta compañía líder en ciberseguridad y cumplimiento normativo. “En base a la actividad de acceso inicial observada, la distribución de malware y la infraestructura, podemos evaluar con un nivel de confianza moderado que la actividad se ajusta a objetivos ciberdelictivos con motivación financiera”.