Negli ultimi mesi, le aziende di trasporto e logistica nordamericane sembrano essere diventate il bersaglio preferito dei cybercriminali. Nello specifico, è stata rilevata una campagna phishing che utilizza account email legittimi (ma compromessi) di aziende del settore: le comunicazioni distribuiscono malware nelle loro caselle di posta e nei sistemi aziendali.
Proofpoint, che monitora questa attività da maggio 2024 e ha da poco rilasciato un report dedicato, ha identificato l'uso di malware come Lumma Stealer, StealC, NetSupport, DanaBot e Arechclient2. I criminali sfruttano link di Google Drive e file .URL, che, se eseguiti, attivano un processo di infezione del sistema tramite SMB.
Gli attacchi risultano particolarmente efficaci perché le email sembrano provenire da mittenti affidabili, spesso inseriti in conversazioni esistenti. Gli hacker utilizzano esche realistiche, impersonificando software per la gestione delle flotte e delle operazioni di trasporto. Possiamo presupporre, quindi, che i criminali conducano ricerche approfondite sulle attività tipiche del settore. E per le aziende diventa sempre più difficile distinguere tra un messaggio legittimo e un attacco.
A partire da agosto 2024, gli hacker hanno adottato nuove tecniche, come la “ClickFix”, che utilizza finestre di dialogo per indurre le vittime a eseguire uno script PowerShell codificato in Base64, scaricando poi un file MSI per installare malware. Questi attacchi seguono un trend crescente nell’uso di tecniche di social engineering sempre più sofisticate, e coinvolgono meno di 20 email che sono andate a colpire specifiche aziende in Nord America. Secondo Proofpoint, l'impatto reale potrebbe essere anche più ampio, vista la natura interconnessa delle operazioni globali nel settore dei trasporti.
Come difendersi?
Per difendersi, le aziende dovrebbero prestare attenzione a email insolite, anche se provenienti da mittenti noti. Se si riscontrano link o allegati sospetti, è consigliabile verificare l'autenticità del messaggio. Inoltre, è fondamentale adottare misure di sicurezza avanzate e il monitoraggio continuo delle attività aziendali, per proteggere le operazioni e prevenire futuri attacchi. In un contesto in cui le minacce informatiche continuano a evolversi, la sensibilizzazione del personale e l'implementazione di solide politiche di sicurezza diventano essenziali per garantire la resilienza dei sistemi IT aziendali.