Transport- en logistieke bedrijven in Noord-Amerika zijn het doelwit van een nieuwe phishingcampagne die diverse informatiedieven en remote access trojans (RAT’s) levert.
Volgens Proofpoint maakt het activiteitencluster gebruik van gecompromitteerde legitieme e-mailaccounts van transport- en scheepvaartbedrijven om schadelijke inhoud in bestaande e-mailconversaties te injecteren.
Er zijn wel 15 gehackte e-mailaccounts geïdentificeerd die als onderdeel van de campagne zijn gebruikt. Het is momenteel niet duidelijk hoe deze accounts in de eerste plaats zijn geïnfiltreerd of wie er achter de aanvallen zit.
“Activiteiten die plaatsvonden tussen mei en juli 2024 omvatten voornamelijk Lumma Stealer, StealC en NetSupport”, aldus het beveiligingsbedrijf voor bedrijven in een dinsdag gepubliceerde analyse.
“In augustus 2024 veranderde de kwaadwillende partij haar tactiek door nieuwe infrastructuur en een nieuwe afleveringstechniek te gebruiken en payloads toe te voegen om DanaBot en Arechclient2 af te leveren.”
De aanvalsketens bestaan uit het versturen van berichten met bijlagen als internet-snelkoppelingen (.URL) of URL’s van Google Drive die leiden naar een .URL-bestand dat, wanneer het wordt gestart, Server Message Block (SMB) gebruikt om de volgende fase van de payload, die de malware bevat, op te halen van een externe share.
Sommige varianten van de campagne die in augustus 2024 werden waargenomen, maken ook gebruik van een onlangs populaire techniek genaamd ClickFix om slachtoffers ertoe te verleiden de DanaBot-malware te downloaden. Dit doen ze onder het voorwendsel dat ze een probleem met de weergave van documentinhoud in de webbrowser zouden oplossen.
Concreet betekent dit dat gebruikers worden aangespoord om een Base64-gecodeerd PowerShell-script te kopiëren en te plakken in de terminal, waardoor het infectieproces wordt geactiveerd.
“Deze campagnes hebben zich voorgedaan als Samsara, AMB Logistic en Astra TMS – software die alleen zou worden gebruikt voor transport- en wagenparkbeheer”, aldus Proofpoint.
“De specifieke targeting en compromittering van organisaties binnen transport en logistiek, evenals het gebruik van lokaas dat zich voordoet als software die specifiek is ontworpen voor vrachtvervoer en wagenparkbeheer, geeft aan dat de dader waarschijnlijk onderzoek doet naar de activiteiten van het beoogde bedrijf voordat hij campagnes verstuurt.”
De onthulling komt terwijl er verschillende stealer-malwarevarianten opduiken, zoals Angry Stealer, BLX Stealer (ook bekend als XLABB Stealer), Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Taliban Stealer, X-FILES Stealer en een aan CryptBot gerelateerde variant met de naam Yet Another Silly Stealer (YASS).
Het volgt ook op de opkomst van een nieuwe versie van de RomCom RAT, een opvolger van PEAPOD (ook bekend als RomCom 4.0) met de codenaam SnipBot, die wordt verspreid via valse links die zijn ingebed in phishing-e-mails. Sommige aspecten van de campagne werden eerder al benadrukt door het Computer Emergency Response Team of Ukraine (CERT-UA) in juli 2024.
“Met SnipBot kan een aanvaller opdrachten uitvoeren en extra modules downloaden naar het systeem van een slachtoffer”, aldus Yaron Samuel en Dominik Reichel, onderzoekers van Unit 42 van Palo Alto Networks.
“De initiële payload is altijd een uitvoerbaar bestand dat zich voordoet als een PDF-bestand, of een daadwerkelijk PDF-bestand dat naar het slachtoffer wordt verzonden in een e-mail die leidt naar een uitvoerbaar bestand.”
Hoewel systemen die geïnfecteerd zijn met RomCom in het verleden ook te maken hebben gehad met ransomware-aanvallen, wees het cyberbeveiligingsbedrijf op het ontbreken van dit gedrag. Dit suggereert dat de dreiging achter de malware, Tropical Scorpius (ook bekend als Void Rabisu), mogelijk is verschoven van puur financieel gewin naar spionage.