I ricercatori di Proofpoint hanno recentemente identificato una pericolosa campagna di attacchi informatici diretti al settore dei trasporti e della logistica. Gli attacchi, che sfruttano e-mail compromesse, si concentrano sull’invio di malware attraverso account di posta elettronica legittimi appartenenti a società di trasporti. L’approccio impiegato dagli aggressori è particolarmente insidioso: iniettano contenuti dannosi in conversazioni e-mail già esistenti, il che aumenta la probabilità di successo dell’attacco, rendendo i messaggi quasi indistinguibili da quelli autentici.
Proofpoint monitora queste attività da maggio 2024 e, fino a luglio, ha rilevato malware come Lumma Stealer, StealC e NetSupport. Ad agosto, tuttavia, è stata segnalata una variazione nella strategia con un’infrastruttura e una tecnica di distribuzione aggiornate, e sono stati aggiunti nuovi malware, come DanaBot e Arechclient2, per potenziare l’impatto delle operazioni.
Metodologie di attacco e tecniche utilizzate
Gli aggressori utilizzano soprattutto messaggi contenenti URL di Google Drive che conducono a link o file .URL. Una volta aperti, questi file consentono al malware di installarsi sfruttando il protocollo SMB per accedere a eseguibili da condivisioni remote. Gli attacchi sono stati mirati e limitati nel numero, con meno di 20 messaggi inviati per ogni campagna, ma colpendo un ristretto gruppo di aziende nordamericane nel settore dei trasporti.
In agosto è emersa una tecnica più complessa, soprannominata “ClickFix”: gli utenti vengono indotti a copiare e incollare uno script PowerShell codificato in Base64, che a sua volta carica il malware DanaBot attraverso un file MSI. Sebbene Proofpoint non abbia ancora attribuito questa campagna a un gruppo specifico, l’utilizzo di tecniche simili alla “ClickFix” e di URL Google Drive indica che potrebbero essere coinvolti attori che acquistano infrastrutture da terze parti.
Obiettivi e adattamento delle tattiche
La compromissione di e-mail legittime rappresenta una tattica particolarmente efficace, che sfrutta tecniche di ingegneria sociale sempre più sofisticate. I ricercatori notano come questi attori siano probabilmente ben informati sulle operazioni delle aziende bersaglio: le esche utilizzate nelle e-mail mimano accuratamente il linguaggio e i flussi di lavoro della logistica, facendo leva sulla fiducia degli utenti.
Proofpoint ha indicato che gli attori delle minacce, in linea con le attività di cybercriminali a scopo finanziario, hanno aumentato il ricorso a malware facilmente accessibile invece di sviluppare payload complessi. Le aziende nel settore trasporti e logistica, così come gli utenti, sono invitate a prestare massima attenzione, soprattutto in presenza di e-mail inconsuete provenienti da contatti noti. In caso di dubbio, Proofpoint consiglia di verificare sempre l’autenticità del mittente attraverso altri canali.
Prevenzione e sicurezza
Il crescente uso di tecniche avanzate di ingegneria sociale da parte dei cybercriminali richiede che le aziende di trasporto adottino misure di sicurezza più severe per proteggere le proprie comunicazioni. In questo senso, è fondamentale sensibilizzare i dipendenti sull’importanza di verificare l’autenticità di e-mail sospette e di segnalare tempestivamente eventuali anomalie.