Los malos actores están apuntando cada vez más a las empresas de transporte y transporte con el objetivo de infectarlas con software de administración y monitoreo remoto (RMM) para obtener ganancias financieras y, en última instancia, robar la carga.
Se dice que el liga de amenazas, que se cree que está activo desde al menos junio de 2025 según Proofpoint, está colaborando con grupos del crimen organizado para irrumpir en entidades de la industria del transporte de superficie con el objetivo final de saquear ingresos físicos. Los productos más atacados por los atracos cibernéticos son los alimentos y bebidas.
«Lo más probable es que la carga robada se venda en vírgula o se envíe al extranjero», dijeron los investigadores Ole Villadsen y Selena Larson en un noticia compartido con The Hacker News. «En las campañas observadas, los actores de amenazas pretenden infiltrarse en las empresas y utilizar su llegada fraudulento para pujar por envíos reales de mercancías para, en última instancia, robarlos».
Las campañas comparten similitudes con un conjunto aludido de ataques revelados en septiembre de 2024 que involucraban apuntar a empresas de transporte y transporte en América del Septentrión con ladrones de información y troyanos de llegada remoto (RAT) como Lumma Stealer, StealC o NetSupport RAT. Sin requisa, no hay evidencia que sugiera que sean obra del mismo actor de amenazas.
En la presente ola de intrusiones detectada por Proofpoint, los atacantes desconocidos han laborioso múltiples métodos, incluidas cuentas de correo electrónico comprometidas para secuestrar conversaciones existentes, apuntando a transportistas basados en activos, firmas de corretaje de carga y proveedores de cadenas de suministro integradas con correos electrónicos de phishing, y publicando listados de carga fraudulentos utilizando cuentas pirateadas en tableros de carga.
«El actor publica listas de carga fraudulentas utilizando cuentas comprometidas en tableros de carga y luego envía correos electrónicos que contienen URL maliciosas a los transportistas que preguntan sobre las cargas», dijo. «Esta táctica explota la confianza y la emergencia inherentes a las negociaciones de transporte de mercancías».
No hace errata opinar que las URL maliciosas incrustadas en los mensajes conducen a instaladores o ejecutables MSI trampa que implementan herramientas RMM legítimas como ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able y LogMeIn Resolve. En casos seleccionados, varios de estos programas se usan juntos, y PDQ Connect se usa para eliminar e instalar ScreenConnect y SimpleHelp.
Una vez que se obtiene el llegada remoto, los atacantes realizan un inspección del sistema y de la red, seguido de herramientas de casa recoleta de credenciales como WebBrowserPassView para capturar credenciales adicionales y profundizar en la red corporativa.
En al menos un caso, se cree que el actor de amenazas utilizó el llegada como armas para eliminar reservas existentes y sitiar notificaciones del despachador, y luego agregó su propio dispositivo a la extensión telefónica del despachador, reservó cargas bajo el nombre del transportista comprometido y coordinó el transporte.
El uso del software RMM ofrece varias ventajas. En primer ocasión, elimina la requisito de que los actores de amenazas diseñen malware a medida. En segundo ocasión, además les permite producirse desapercibidos, correcto a la prevalencia de este tipo de herramientas en entornos empresariales, y las soluciones de seguridad normalmente no las marcan como maliciosas.
«Es suficiente hacedero para los actores de amenazas crear y distribuir herramientas de monitoreo remoto propiedad de los atacantes, y correcto a que a menudo se usan como piezas de software legítimas, los usuarios finales pueden sospechar menos de instalar RMM que otros troyanos de llegada remoto», señaló Proofpoint en marzo de 2025. «Encima, dichas herramientas pueden escamotear la detección de antivirus o de red porque los instaladores a menudo son cargas avíos legítimas y firmadas distribuidas de forma maliciosa».
