Le aziende di trasporto e logistica del Nord America sono state recentemente colpite da una nuova campagna di phishing che distribuisce una varietà di malware e trojan ad accesso remoto (RAT). Secondo Proofpoint, l'attività utilizza account email legittimi compromessi appartenenti a compagnie di trasporto e spedizione per iniettare contenuti dannosi nelle conversazioni email esistenti. Sono stati identificati almeno 15 account email compromessi utilizzati come parte della campagna. Tuttavia, non è ancora chiaro come questi account siano stati infiltrati inizialmente o chi sia dietro gli attacchi.

Tra maggio e luglio 2024, la campagna ha prevalentemente distribuito Lumma Stealer, StealC e NetSupport. Tuttavia, ad agosto 2024, gli attori della minaccia hanno cambiato tattica utilizzando nuove infrastrutture e tecniche di consegna, aggiungendo payload per distribuire DanaBot e Arechclient2. Le catene di attacco coinvolgono l'invio di messaggi contenenti allegati di scorciatoie internet (.URL) o URL di Google Drive che conducono a un file .URL che, una volta lanciato, utilizza Server Message Block (SMB) per recuperare il payload contenente il malware da una condivisione remota.

Alcune varianti della campagna osservate ad agosto 2024 hanno anche adottato una tecnica recentemente popolare chiamata ClickFix per ingannare le vittime a scaricare il malware DanaBot sotto il pretesto di risolvere un problema con la visualizzazione del contenuto dei documenti nel browser web. In particolare, ciò implica l'esortare gli utenti a copiare e incollare uno script PowerShell codificato in Base64 nel terminale, innescando così il processo di infezione.

Queste campagne hanno impersonato software come Samsara, AMB Logistic e Astra TMS, utilizzati nella gestione delle operazioni di trasporto e flotta. La specificità dei bersagli e delle compromissioni di organizzazioni nel settore dei trasporti e della logistica, nonché l'uso di esche che impersonano software specifici per le operazioni di trasporto, indicano che gli attori della minaccia probabilmente conducono ricerche sulle operazioni delle aziende bersaglio prima di inviare le campagne.

La divulgazione arriva in un momento di emergenza di varie famiglie di malware stealer come Angry Stealer, BLX Stealer, Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Taliban Stealer, X-FILES Stealer e una variante correlata a CryptBot chiamata Yet Another Silly Stealer (YASS).

Inoltre, è emersa una nuova versione del RomCom RAT, un successore di PEAPOD (noto anche come RomCom 4.0) denominato SnipBot, distribuito tramite link fraudolenti incorporati nelle email di phishing. Alcuni aspetti della campagna sono stati precedentemente evidenziati dal Computer Emergency Response Team dell'Ucraina (CERT-UA) a luglio 2024. SnipBot consente agli attaccanti di eseguire comandi e scaricare moduli aggiuntivi sul sistema della vittima. Il payload iniziale è sempre un downloader eseguibile mascherato da file PDF o un file PDF reale inviato alla vittima in un'email che conduce a un eseguibile.

Sebbene i sistemi infettati da RomCom abbiano anche visto distribuzioni di ransomware in passato, la società di sicurezza informatica ha evidenziato l'assenza di questo comportamento, suggerendo la possibilità che la minaccia dietro il malware, Tropical Scorpius, abbia spostato l'attenzione dal puro guadagno finanziario allo spionaggio.