Il comparto del trasporto e della logistica è al centro di una nuova campagna di attacchi informatici che sta allarmando gli esperti di sicurezza.
Come riportato da Proofpoint, questi attacchi sfruttano tecniche avanzate di social engineering e l’uso di account email legittimi compromessi, per diffondere varianti di malware all’interno di conversazioni esistenti tra dipendenti e clienti.
Questa modalità di attacco, definita particolarmente insidiosa, rende difficile individuare la minaccia, aumentando così il rischio di successo delle campagne malevole.

Gli attacchi sono stati rilevati principalmente in Nord America, ma è probabile che la campagna si espanda presto sia geograficamente che settorialmente, con potenziali implicazioni anche per altri ambiti industriali.
La minaccia è particolarmente grave poiché mira a sfruttare la familiarità degli attaccanti con i flussi di lavoro e i processi aziendali tipici del settore logistico, dimostrando che dietro queste operazioni c’è una preparazione dettagliata.

Tecniche avanzate e malware utilizzati

Dal punto di vista tecnico, gli attacchi analizzati da Proofpoint si distinguono per l’impiego di diversi tipi di malware, tra cui Lumma Stealer, StealC, NetSupport, DanaBot e Arechclient2.

Questi software malevoli, una volta installati sui sistemi compromessi, permettono ai cybercriminali di:

• Rubare dati sensibili,
• Ottenere il controllo remoto dei dispositivi infetti,
• Installare ulteriori malware per prolungare l’attacco.

Inoltre, un aspetto peculiare della campagna è l’uso di account email compromessi di aziende di trasporto e logistica, che vengono sfruttati per inserire malware all’interno di email legittime e già in corso.
Proofpoint ha già identificato almeno 15 account compromessi, ma è probabile che il numero effettivo sia molto più alto.
Questo approccio permette agli attaccanti di muoversi sotto il radar, rendendo le email dannose più credibili e quindi più pericolose.

Minacce future: un possibile ampliamento del raggio d’azione

Sebbene, al momento, non ci sia una chiara attribuzione degli attacchi, si ipotizza che la motivazione sia di natura finanziaria, data la precisione e l’efficacia delle esche utilizzate. Gli attaccanti hanno mostrato una notevole capacità di adattare i contenuti delle email ai contesti specifici delle organizzazioni prese di mira, segno di una fase preliminare di ricerca approfondita sui target.

Un’altra tecnica innovativa impiegata dagli attaccanti è l’uso di URL di Google Drive nelle email, che portano a file dannosi.
Questi file, spesso con estensione .URL, utilizzano il protocollo SMB per accedere a eseguibili situati su condivisioni remote, ampliando così il potenziale distruttivo della campagna.

Un segnale d’allarme per la logistica globale

Sebbene il numero di email dannose inviate in ciascuna campagna sia relativamente ridotto – meno di 20 messaggi per ondata – la precisione chirurgica degli attacchi li rende particolarmente insidiosi. L’impiego di malware “commodity”, strumenti già disponibili sul mercato nero e facilmente personalizzabili, è un segnale di come i cybercriminali preferiscano sfruttare risorse esistenti piuttosto che investire tempo nello sviluppo di nuove minacce da zero.

Ricevi la newsletter gratuita per rimanere aggiornato sulle ultime novità del mondo della logistica