Közlekedési vállalatok elleni támadások Lumma Stealer-rel és NetSupport malware-rel
Az észak-amerikai szállítmányozási és logisztikai vállalatok egy új adathalász kampány célpontjai, amely különböző információlopó és távoli hozzáférési trójai (RAT) kártevőket szállít. A Proofpoint szerint a tevékenységcsoport a szállítási és szállítmányozási vállalatokhoz tartozó, kompromittált legitim e-mail fiókokat használja fel, hogy rosszindulatú tartalmakat juttasson be a meglévő e-mail beszélgetésekbe. Nem kevesebb, mint 15 feltört e-mail fiókot azonosítottak, amelyeket a kampány részeként használtak. Jelenleg nem világos, hogy ezekbe a fiókokba egyáltalán hogyan szivárogtak be, vagy hogy ki áll a támadások mögött.
„A 2024 májusa és júliusa között történt tevékenység túlnyomórészt a Lumma Stealer, a StealC vagy a NetSupport programokat szállította” – áll a vállalati biztonsági cég 2024. szeptember 24-én közzétett elemzésében. „2024 augusztusában a fenyegető szereplő taktikát váltott, új infrastruktúrát és új kézbesítési technikát alkalmazva, valamint a DanaBot és az Arechclient2 kézbesítésére szolgáló hasznos terhelések hozzáadásával.” A támadási láncok internetes parancsikon (.URL) csatolmányt vagy Google Drive URL-címeket tartalmazó üzenetek küldését foglalják magukban, amelyek egy .URL fájlhoz vezetnek, amely elindításakor a Server Message Block (SMB) segítségével egy távoli megosztásról lekérdezi a rosszindulatú programot tartalmazó következő fázisú hasznos terhet.
A 2024 augusztusában megfigyelt kampány egyes változatai a ClickFix nevű technikát is felhasználták, hogy az áldozatokat a DanaBot kártevő letöltésére csábítsák azzal az ürüggyel, hogy a webböngészőben a dokumentumtartalom megjelenítésével kapcsolatos problémát orvosolják. Konkrétan ez azt jelenti, hogy a felhasználókat egy Base64 kódolású PowerShell szkript másolására és beillesztésére ösztönzik a terminálba, ezzel elindítva a fertőzési folyamatot. „Ezek a kampányok a Samsara, az AMB Logistic és az Astra TMS szoftvereknek adták ki magukat – olyan szoftvereknek, amelyeket csak a szállítás és a flottaüzemeltetés irányításában használnak” – mondta a Proofpoint.
