Los malos actores están apuntando cada vez más a las empresas de transporte y transporte con el objetivo de infectarlas con software de papeleo y monitoreo remoto (RMM) para obtener ganancias financieras y, en última instancia, robar la carga.
Se dice que el género de amenazas, que se cree que está activo desde al menos junio de 2025 según Proofpoint, está colaborando con grupos del crimen organizado para irrumpir en entidades de la industria del transporte de superficie con el objetivo final de saquear fondos físicos. Los productos más atacados por los atracos cibernéticos son los alimentos y bebidas.
“Lo más probable es que la carga robada se venda en trayecto o se envíe al extranjero”, dijeron los investigadores Ole Villadsen y Selena Larson en un crónica compartido con The Hacker News. “En las campañas observadas, los actores de amenazas pretenden infiltrarse en las empresas y utilizar su ataque fraudulento para pujar por envíos reales de mercancías para, en última instancia, robarlos”.
Las campañas comparten similitudes con un conjunto antecedente de ataques revelados en septiembre de 2024 que involucraban apuntar a empresas de transporte y transporte en América del Meta con ladrones de información y troyanos de ataque remoto (RAT) como Lumma Stealer, StealC o NetSupport RAT. Sin confiscación, no hay evidencia que sugiera que sean obra del mismo actor de amenazas.
En la contemporáneo ola de intrusiones detectada por Proofpoint, los atacantes desconocidos han explotado múltiples métodos, incluidas cuentas de correo electrónico comprometidas para secuestrar conversaciones existentes, apuntando a transportistas basados en activos, firmas de corretaje de carga y proveedores de cadenas de suministro integradas con correos electrónicos de phishing, y publicando listados de carga fraudulentos utilizando cuentas pirateadas en tableros de carga.
“El actor publica listas de carga fraudulentas utilizando cuentas comprometidas en tableros de carga y luego envía correos electrónicos que contienen URL maliciosas a los transportistas que preguntan sobre las cargas”, dijo. “Esta táctica explota la confianza y la emergencia inherentes a las negociaciones de transporte de mercancías”.
No hace desatiendo proponer que las URL maliciosas incrustadas en los mensajes conducen a instaladores o ejecutables MSI trampa que implementan herramientas RMM legítimas como ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able y LogMeIn Resolve. En casos seleccionados, varios de estos programas se usan juntos, y PDQ Connect se usa para eliminar e instalar ScreenConnect y SimpleHelp.
Una vez que se obtiene el ataque remoto, los atacantes realizan un inspección del sistema y de la red, seguido de herramientas de casa recoleta de credenciales como WebBrowserPassView para capturar credenciales adicionales y profundizar en la red corporativa.
En al menos un caso, se cree que el actor de amenazas utilizó el ataque como armamento para eliminar reservas existentes y cortar notificaciones del despachador, y luego agregó su propio dispositivo a la extensión telefónica del despachador, reservó cargas bajo el nombre del transportista comprometido y coordinó el transporte.
El uso del software RMM ofrece varias ventajas. En primer empleo, elimina la pobreza de que los actores de amenazas diseñen malware a medida. En segundo empleo, todavía les permite advenir desapercibidos, correcto a la prevalencia de este tipo de herramientas en entornos empresariales, y las soluciones de seguridad normalmente no las marcan como maliciosas.
“Es conveniente practicable para los actores de amenazas crear y distribuir herramientas de monitoreo remoto propiedad de los atacantes, y correcto a que a menudo se usan como piezas de software legítimas, los usuarios finales pueden sospechar menos de instalar RMM que otros troyanos de ataque remoto”, señaló Proofpoint en marzo de 2025. “Encima, dichas herramientas pueden sortear la detección de antivirus o de red porque los instaladores a menudo son cargas aperos legítimas y firmadas distribuidas de forma maliciosa”.
