25 de septiembre de 2024Ravie LakshmananSeguridad de correo electrónico / Inteligencia de amenazas Las empresas de transporte y logística en América del Norte son el objetivo de una nueva campaña de phishing que distribuye una variedad de ladrones de información y troyanos de acceso remoto (RAT). El grupo de actividades, según Proofpoint, hace uso de cuentas de correo electrónico legítimas comprometidas que pertenecen a empresas de transporte y envío para inyectar contenido malicioso en conversaciones de correo electrónico existentes. Se han identificado hasta 15 cuentas de correo electrónico vulneradas como parte de la campaña. Actualmente no está claro cómo se infiltran estas cuentas en primer lugar o quién está detrás de los ataques. «La actividad que ocurrió entre mayo y julio de 2024 entregó predominantemente Lumma Stealer, StealC o NetSupport», dijo la empresa de seguridad empresarial en un análisis publicado el martes. «En agosto de 2024, el actor de la amenaza cambió de táctica al emplear una nueva infraestructura y una nueva técnica de entrega, además de agregar cargas útiles para entregar DanaBot y Arechclient2». Las cadenas de ataque implican el envío de mensajes con archivos adjuntos con acceso directo a Internet (.URL) o URL de Google Drive que conducen a un archivo .URL que, cuando se lanza, utiliza Server Message Block (SMB) para obtener la carga útil de la siguiente etapa que contiene el malware desde un recurso compartido remoto. Algunas variantes de la campaña observada en agosto de 2024 también se han aferrado a una técnica recientemente popular llamada ClickFix para engañar a las víctimas para que descarguen el malware DanaBot con el pretexto de solucionar un problema con la visualización del contenido de un documento en el navegador web. En concreto, esto implica instar a los usuarios a copiar y pegar un script de PowerShell codificado en Base64 en la terminal, lo que desencadena el proceso de infección. «Estas campañas se han hecho pasar por Samsara, AMB Logistic y Astra TMS, software que solo se utilizaría en la gestión de operaciones de transporte y flotas», dijo Proofpoint. «El hecho de que se hayan dirigido específicamente a organizaciones del sector del transporte y la logística y se hayan visto comprometidas, así como el uso de señuelos que se hacen pasar por software diseñado específicamente para operaciones de transporte y gestión de flotas, indica que el actor probablemente realiza investigaciones sobre las operaciones de la empresa objetivo antes de enviar campañas». La revelación se produce en medio de la aparición de varias cepas de malware de robo de identidad, como Angry Stealer, BLX Stealer (también conocido como XLABB Stealer), Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Talibán Stealer, X-FILES Stealer y una variante relacionada con CryptBot denominada Yet Another Silly Stealer (YASS). También se produce tras la aparición de una nueva versión de RomCom RAT, un sucesor de PEAPOD (también conocido como RomCom 4.0) con nombre en código SnipBot que se distribuye a través de enlaces falsos incrustados en correos electrónicos de phishing. Algunos aspectos de la campaña fueron destacados previamente por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en julio de 2024. «SnipBot le da al atacante la capacidad de ejecutar comandos y descargar módulos adicionales en el sistema de la víctima», dijeron los investigadores de la Unidad 42 de Palo Alto Networks Yaron Samuel y Dominik Reichel. «La carga útil inicial siempre es un descargador ejecutable enmascarado como un archivo PDF o un archivo PDF real enviado a la víctima en un correo electrónico que conduce a un ejecutable». Si bien los sistemas infectados con RomCom también han sido testigos de implementaciones de ransomware en el pasado, la empresa de ciberseguridad señaló la ausencia de este comportamiento, lo que plantea la posibilidad de que la amenaza detrás del malware, Tropical Scorpius (también conocido como Void Rabisu), haya pasado de ser una ganancia financiera pura a ser un espionaje. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.