Dopravní a logistické společnosti v Severní Americe jsou cílem nové phishingové kampaně, která šíří různé škodlivé programy a trojské koně pro vzdálený přístup (RATs). Podle společnosti Proofpoint tato aktivita využívá kompromitované legitimní e-mailové účty patřící dopravním a přepravním společnostem k vkládání škodlivého obsahu do stávajících e-mailových konverzací.
Bylo identifikováno až 15 prolomených e-mailových účtů, které byly použity jako součást kampaně. V současné době není jasné, jak byly tyto účty původně infiltrovány nebo kdo stojí za útoky.
„Aktivity, které probíhaly od května do července 2024, převážně šířily Lumma Stealer, StealC nebo NetSupport,“ uvedla bezpečnostní firma. „V srpnu 2024 změnil útočník taktiku použitím nové infrastruktury a nové techniky a integroval nové nástroje pro nasazení DanaBot a Arechclient2.“
Řetězové útoky zahrnují zasílání zpráv s přílohami ve formátu internetového zástupce (.URL) nebo odkazy na Google Drive vedoucí k souboru .URL, který po spuštění používá Server Message Block (SMB) k načtení dalšího obsahu obsahujícího malware.
Některé varianty kampaně pozorované v srpnu 2024 také využily populární techniku zvanou ClickFix, aby oběti oklamaly ke stažení malwaru DanaBot pod záminkou řešení problému se zobrazením obsahu dokumentu ve webovém prohlížeči.
Konkrétně to zahrnuje vyzvání uživatelů ke kopírování a vložení Base64-kódovaného PowerShell skriptu do terminálu, čímž se spustí proces infekce.
„Tyto kampaně se vydávaly za Samsara, AMB Logistic a Astra TMS – software, který by byl používán pouze v řízení dopravy a flotil,“ uvedla společnost Proofpoint.
„Specifické cílení a kompromitace organizací v oblasti dopravy a logistiky, stejně jako použití návnad, které se vydávají za software speciálně navržený pro nákladní operace a řízení flotil, naznačuje, že útočník pravděpodobně provádí průzkum společnosti před odesláním kampaní.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
