Perusahaan transportasi dan logistik di Amerika Utara menjadi target kampanye phishing baru yang mengirimkan berbagai pencuri informasi dan trojan akses jarak jauh (RAT).
Kelompok aktivitas tersebut, menurut Proofpoint, memanfaatkan akun email sah yang telah disusupi milik perusahaan transportasi dan pengiriman barang untuk menyuntikkan konten berbahaya ke dalam percakapan email yang ada.
Sebanyak 15 akun email yang diretas telah diidentifikasi sebagai bagian dari kampanye tersebut. Saat ini belum jelas bagaimana akun-akun ini disusupi atau siapa yang berada di balik serangan tersebut.
“Aktivitas yang terjadi dari Mei hingga Juli 2024 sebagian besar mengirimkan Lumma Stealer, StealC, atau NetSupport,” kata perusahaan keamanan perusahaan itu dalam analisis yang diterbitkan Selasa.
“Pada bulan Agustus 2024, pelaku ancaman mengubah taktik dengan menggunakan infrastruktur baru dan teknik pengiriman baru, serta menambahkan muatan untuk mengirimkan DanaBot dan Arechclient2.”
Rangkaian serangan melibatkan pengiriman pesan berisi lampiran pintasan internet (.URL) atau URL Google Drive yang mengarah ke file .URL yang ketika diluncurkan, menggunakan Server Message Block (SMB) untuk mengambil muatan tahap berikutnya yang berisi malware dari berbagi jarak jauh.
Beberapa varian kampanye yang diamati pada bulan Agustus 2024 juga telah memanfaatkan teknik yang baru-baru ini populer bernama ClickFix untuk mengelabui korban agar mengunduh malware DanaBot dengan dalih mengatasi masalah saat menampilkan konten dokumen di peramban web.
Secara khusus, hal ini melibatkan desakan pengguna untuk menyalin dan menempel skrip PowerShell berkode Base64 ke terminal, sehingga memicu proses infeksi.
“Kampanye ini meniru Samsara, AMB Logistic, dan Astra TMS – perangkat lunak yang hanya digunakan dalam manajemen operasi transportasi dan armada,” kata Proofpoint.
“Penargetan dan kompromi spesifik terhadap organisasi dalam bidang transportasi dan logistik, serta penggunaan umpan yang meniru perangkat lunak yang dirancang khusus untuk operasi pengangkutan dan manajemen armada, menunjukkan bahwa pelaku kemungkinan melakukan penelitian terhadap operasi perusahaan yang menjadi target sebelum mengirimkan kampanye.”
Pengungkapan tersebut terjadi di tengah munculnya berbagai jenis malware pencuri seperti Angry Stealer, BLX Stealer (alias XLABB Stealer), Emansrepo Stealer, Gomorrah Stealer, Luxy, Poseidon, PowerShell Keylogger, QWERTY Stealer, Taliban Stealer, X-FILES Stealer, dan varian terkait CryptBot yang dijuluki Yet Another Silly Stealer (YASS).
Hal ini juga mengikuti kemunculan versi baru RomCom RAT, penerus PEAPOD (alias RomCom 4.0) dengan nama kode SnipBot yang didistribusikan melalui tautan palsu yang disematkan dalam email phishing. Beberapa aspek kampanye tersebut sebelumnya disorot oleh Computer Emergency Response Team of Ukraine (CERT-UA) pada bulan Juli 2024.
“SnipBot memberi penyerang kemampuan untuk mengeksekusi perintah dan mengunduh modul tambahan ke sistem korban,” kata peneliti Palo Alto Networks Unit 42 Yaron Samuel dan Dominik Reichel.
“Muatan awal selalu berupa pengunduh yang dapat dieksekusi yang disamarkan sebagai berkas PDF atau berkas PDF sebenarnya yang dikirim ke korban melalui email yang mengarah ke berkas yang dapat dieksekusi.”
Sementara sistem yang terinfeksi RomCom juga pernah mengalami penyebaran ransomware di masa lalu, perusahaan keamanan siber tersebut menunjukkan tidak adanya perilaku ini, sehingga muncul kemungkinan bahwa ancaman di balik malware, Tropical Scorpius (alias Void Rabisu), telah bergeser dari sekadar keuntungan finansial menjadi spionase.