Los delincuentes practican cada vez más la práctica de atacar a empresas de transporte y logística para infectar software de gestión y monitoreo remoto (RMM) y, en última instancia, robar carga para obtener ganancias financieras.
Según Proofpoint, se cree que este grupo de amenazas ha estado activo desde al menos junio de 2025 y se dice que está trabajando con grupos del crimen organizado para infiltrarse en organizaciones de la industria del transporte terrestre con el objetivo final de robar bienes. Los alimentos y las bebidas son los productos más objetivo de los robos cibernéticos.
«Lo más probable es que la carga robada se venda en línea o se envíe al extranjero», dijeron los investigadores Ole Villasen y Serena Larsson en un informe compartido con Hacker News. «En las campañas observadas, los atacantes pretenden infiltrarse en las empresas, utilizar el acceso no autorizado para pujar por envíos reales de mercancías y, en última instancia, robar las mercancías».
Esta campaña comparte similitudes con una serie anterior de ataques revelados en septiembre de 2024. El ataque implicó apuntar a empresas de transporte y logística en América del Norte utilizando herramientas de robo de información como Lumma Stealer, StealC y NetSupport RAT, así como troyanos de acceso remoto (RAT). Sin embargo, no hay pruebas de que sean obra del mismo atacante.
En la ola actual de intrusiones detectadas por Proofpoint, atacantes desconocidos están aprovechando múltiples métodos, incluyendo comprometer cuentas de correo electrónico para secuestrar conversaciones existentes, apuntar a transportistas basados en activos, corredores de carga y proveedores de cadenas de suministro integradas con correos electrónicos de phishing y publicar listados de carga fraudulentos en foros de carga utilizando cuentas pirateadas.
«Los atacantes utilizan cuentas comprometidas para publicar listados de envíos fraudulentos en los tablones de carga y luego envían correos electrónicos que contienen URL maliciosas a los transportistas que preguntan sobre sus envíos», afirma el informe. «Esta táctica aprovecha la credibilidad y la urgencia inherentes a las negociaciones sobre fletes».
No hace falta decir que la URL maliciosa incrustada en el mensaje conduce a un instalador o ejecutable MSI trampa que implementa herramientas RMM legítimas como ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able y LogMeIn Resolve. En algunos casos, algunos de estos programas se usan juntos y PDQ Connect se usa para eliminar e instalar ScreenConnect y SimpleHelp.
Una vez que obtienen acceso remoto, los atacantes comienzan a reconocer los sistemas y las redes y luego utilizan herramientas de recolección de credenciales como WebBrowserPassView para obtener credenciales adicionales y penetrar más profundamente en la red corporativa.
En al menos un caso, se cree que los atacantes utilizaron su acceso para eliminar reservas existentes, bloquear notificaciones del despachador, agregar sus dispositivos a la extensión telefónica del despachador, reservar paquetes en nombre del operador comprometido y coordinar el transporte.
Existen varios beneficios al utilizar el software RMM. En primer lugar, elimina la necesidad de que los actores de amenazas inventen malware a medida. En segundo lugar, la prevalencia de este tipo de herramientas en entornos empresariales les permite pasar desapercibidas y, por lo general, las soluciones de seguridad no las marcan como maliciosas.
«Debido a que es muy fácil para los atacantes crear y distribuir herramientas de monitoreo remoto de propiedad del atacante, y debido a que a menudo se usan como software legítimo, los usuarios finales pueden sospechar menos de las instalaciones de RMM que de otros troyanos de acceso remoto. Además, debido a que los instaladores a menudo se distribuyen maliciosamente con cargas útiles legítimas firmadas, dichas herramientas pueden evadir la detección antivirus y de red», dijo Proofpoint. Señalado en marzo de 2025.
Source link
