Ciberdelincuentes comprometen cuentas para atacar empresas de transporte con malware

Antonio Adrados Herrero,
Linkedin
Ciberdelincuentes atacan empresas de transporte y logística con malware mediante ingeniería social

Ciberdelincuentes emplean ingeniería social para comprometer cuentas y distribuir malware en empresas de transporte y logística desde mayo de 2024.

Proofpoint ha revelado una campaña de ciberataques dirigida a empresas del sector de transporte y logística, que ha estado activa desde mayo de 2024 en Norteamérica. Los atacantes han aprovechado cuentas de correo legítimas comprometidas, insertando malware en mensajes de correo electrónicos que parecen auténticos, lo que dificulta su detección. Esta técnica, que utiliza la ingeniería social, ha permitido distribuir distintos payloads de malware como Lumma Stealer, StealC y NetSupport. Sin embargo, en agosto de 2024, los ciberdelincuentes introdujeron una nueva infraestructura y métodos de entrega, incluyendo el despliegue de malware como DanaBot y Arechclient2.

Los investigadores de Proofpoint detectaron que los mensajes maliciosos se disfrazaban de enlaces legítimos de Google Drive, que conducían a archivos de acceso directo (.URL) o archivos adjuntos que ejecutaban malware. Esta estrategia de suplantación, acompañada de técnicas como “ClickFix”, ha afectado a un número reducido de clientes, pero con consecuencias potencialmente devastadoras para las empresas de transporte afectadas. Los atacantes utilizan scripts PowerShell codificados en Base64, distribuidos a través de archivos HTML, que instalan software malicioso una vez ejecutados.

Ingeniería social y malware dirigido a flotas de transporte

La campaña de ataques ha sido especialmente sofisticada, enfocándose en empresas de logística mediante la suplantación de proveedores del sector como Samsara, AMB Logistic, y Astra TMS, software especializado en la gestión de operaciones de flotas. Los ciberdelincuentes incluso simularon actualizaciones de software populares como Google Chrome y Microsoft Word, logrando que sus ataques parecieran actualizaciones legítimas. Según el equipo de investigación de Proofpoint, aunque no se ha identificado con certeza al grupo responsable de estos ataques, se observa un claro interés financiero en sus objetivos, dada la naturaleza de los payloads y los métodos utilizados.

Los atacantes no solo emplearon las herramientas antes mencionadas, sino que también compraron infraestructuras a proveedores terceros para facilitar la distribución del malware. Las técnicas observadas guardan relación con otras campañas criminales, pero la precisión de los ataques dirigidos sugiere una preparación minuciosa para afectar al sector de transporte y logística. El equipo de Proofpoint advierte sobre la creciente sofisticación de estos ataques y subraya la necesidad de medidas de ciberseguridad más robustas para proteger a las empresas de los peligros emergentes en este sector.