Encuentre aquí su software

Busca simples


Busca Avançada

Ciberdelincuentes comprometen cuentas para atacar con malware a empresas de transporte y logística

Postado por Redacción Portal ERP España em 26/09/2024 em IT Security

Compartir:

Las ciberamenazas continúan ejecutándose sobre todo en cuentas con ingeniería social personalizada, el sector de transporte y logística se están viendo afectados

Foto: Freepik. Portal ERP España.

Proofpoint ha rastreado actividades dirigidas a empresas de transporte y logística para distribuir una variedad de diferentes payloads de malware.?Los ciberdelincuentes se aprovechaban de cuentas de correo electrónico legítimas comprometidas de empresas de estos sectores, inyectando contenido malicioso en las conversaciones existentes en la bandeja de entrada, lo que hacía que los mensajes pareciesen legítimos.

Los investigadores han estado rastreando esta actividad desde finales de mayo de 2024 en Norteamérica. Hasta julio, se entregó principalmente Lumma Stealer, StealC o NetSupport. Pero, en agosto, los atacantes cambiaron de táctica empleando una nueva infraestructura y una nueva técnica de entrega, además de añadir payloads para entregar DanaBot y Arechclient2.

La mayoría de las campañas utilizaban mensajes con enlaces de Google Drive que conducen a un archivo de acceso directo a Internet (.URL) o a un archivo .URL adjunto al mensaje y, de ahí, se accede a un ejecutable desde el recurso compartido remoto que instala el malware. Los ciberdelincuentes solían incluir menos de 20 mensajes con los que afectaban a un número reducido de clientes. También reproducían la técnica “ClickFix”» para distribuir malware: los mensajes contenían una URL que dirigían a los usuarios a través de varios cuadros de diálogo que llevaban a copiar, pegar y ejecutar un script PowerShell codificado en Base64 y contenido en el HTML. Los scripts conducían a un archivo MSI utilizado para cargar DanaBot.??

Otros ciberdelincuentes se hacían pasar por actualizaciones de Word o Chrome en sus amenazas, mientras que en esta investigación suplantaban Samsara, AMB Logistic, y Astra TMS un software que solo se utilizaría en el transporte y la gestión de operaciones de flota.??

“Desde Proofpoint no atribuimos actualmente este grupo de actividad a un agente de amenaza identificado.?Se han observado técnicas e infraestructuras similares asociadas con ClickFix y la combinación de URL de Google Drive, archivos .URL y SMB, usadas por otros ciberdelincuentes y campañas, aunque este atacante en concreto adquiere su infraestructura de proveedores terceros”, ha señalado el equipo de investigación de amenazas de esta compañía líder en ciberseguridad y cumplimiento normativo. “En base a la actividad de acceso inicial observada, la distribución de malware y la infraestructura, podemos evaluar con un nivel de confianza moderado que la actividad se ajusta a objetivos ciberdelictivos con motivación financiera”.

Postado por Redacción Portal ERP España em 26/09/2024 em IT Security

Para tornar sua experiência mais agradável usamos cookies para armazenar informações sobre como você usa o Portal ERP. Acesse nosso 'Termos de Uso e Política de Privacidade' para saber mais. Ao clicar em 'Aceitar', você consente com a otimização do site pelo uso de cookies.