Ciberdelincuentes comprometen cuentas para atacar empresas de transporte con malware

Proofpoint ha revelado una campaña de ciberataques dirigida a empresas del sector de transporte y logística, que ha estado activa desde mayo de 2024 en Norteamérica. Los atacantes han aprovechado cuentas de correo legítimas comprometidas, insertando malware en mensajes de correo electrónicos que parecen auténticos, lo que dificulta su detección. Esta técnica, que utiliza la ingeniería social, ha permitido distribuir distintos payloads de malware como Lumma Stealer, StealC y NetSupport. Sin embargo, en agosto de 2024, los ciberdelincuentes introdujeron una nueva infraestructura y métodos de entrega, incluyendo el despliegue de malware como DanaBot y Arechclient2.

Los investigadores de Proofpoint detectaron que los mensajes maliciosos se disfrazaban de enlaces legítimos de Google Drive, que conducían a archivos de acceso directo (.URL) o archivos adjuntos que ejecutaban malware. Esta estrategia de suplantación, acompañada de técnicas como “ClickFix”, ha afectado a un número reducido de clientes, pero con consecuencias potencialmente devastadoras para las empresas de transporte afectadas. Los atacantes utilizan scripts PowerShell codificados en Base64, distribuidos a través de archivos HTML, que instalan software malicioso una vez ejecutados.

Ingeniería social y malware dirigido a flotas de transporte

La campaña de ataques ha sido especialmente sofisticada, enfocándose en empresas de logística mediante la suplantación de proveedores del sector como Samsara, AMB Logistic, y Astra TMS, software especializado en la gestión de operaciones de flotas. Los ciberdelincuentes incluso simularon actualizaciones de software populares como Google Chrome y Microsoft Word, logrando que sus ataques parecieran actualizaciones legítimas. Según el equipo de investigación de Proofpoint, aunque no se ha identificado con certeza al grupo responsable de estos ataques, se observa un claro interés financiero en sus objetivos, dada la naturaleza de los payloads y los métodos utilizados.

Los atacantes no solo emplearon las herramientas antes mencionadas, sino que también compraron infraestructuras a proveedores terceros para facilitar la distribución del malware. Las técnicas observadas guardan relación con otras campañas criminales, pero la precisión de los ataques dirigidos sugiere una preparación minuciosa para afectar al sector de transporte y logística. El equipo de Proofpoint advierte sobre la creciente sofisticación de estos ataques y subraya la necesidad de medidas de ciberseguridad más robustas para proteger a las empresas de los peligros emergentes en este sector.

Antonio Adrados Herrero

Recent Posts

Los ingresos por productos de Snowflake superan los 900 millones de dólares

De los 942,1 millones de dólares que ingresó en el tercer trimestre, 900,3 millones corresponden…

5 horas ago

Check Point: 2024, récord en ciberataques con la IA como enemiga y aliada

“En 2024 se ha registrado un crecimiento exponencial en los ciberataques, con empresas de todo…

6 horas ago

Los ingresos trimestrales de NVIDIA aumentan un 94 %

Durante su trimestre más reciente acumuló un total de 35.100 millones de dólares.

7 horas ago

Sage concluye “un año de éxito”

Durante su ejercicio fiscal 2024 mejoró un 9 % los ingresos totales subyacentes, por encima…

8 horas ago

Inetum quiere duplicar su plantilla en Aragón

Ha estrenado oficinas en Zaragoza, está presente en el Parque Tecnológico Walqa y tiene previsto…

8 horas ago

Voxel reúne a los profesionales de la industria HORECA

Ha celebrado la cuarta edición de la cita tecnológica eProcurement Tech Summit.

9 horas ago