Les acteurs de la menace ciblent les courtiers de fret et les transporteurs routiers avec des liens et des courriels malveillants pour déployer des outils de surveillance et de gestion à distance (RMM) qui leur permettent de détourner des marchandises et de voler des biens physiques.
Les chercheurs ont suivi l’activité jusqu’en juin, mais ils ont trouvé des preuves de ce type de campagnes offrant NetSupport et ScreenConnect depuis janvier.
Selon la société de sécurité de messagerie Proofpoint, ces attaques sont de plus en plus populaires, avec près de deux douzaines de campagnes enregistrées depuis août, chacune d’elles envoyant jusqu’à un millier de messages.
Les cibles sont principalement des entités nord-américaines; cependant, Proofpoint a également observé une activité similaire au Brésil, au Mexique, en Inde, en Allemagne, au Chili et en Afrique du Sud.
Vol de marchandises numérisé
Le vol de marchandises consiste à voler des expéditions commerciales en détournant des camions ou des remorques en transit, en les réacheminant ou en usurpant l’identité de transporteurs légitimes. Les marchandises sont ensuite redirigées vers des points de collecte frauduleux.
Le National Insurance Crime Bureau (NICB) estime les pertes de vol de marchandises aux États-Unis à 35 milliards de dollars par an.
Aujourd’hui, les cybercriminels se concentrent sur l’exploitation des lacunes dans le segment numérique de la chaîne d’approvisionnement qui aide les entreprises à déplacer les marchandises plus efficacement.
L’objectif principal de l’attaquant est d’installer des GMAO comme ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able et LogMeIn Resolve sur les systèmes des entreprises cibles, ce qui leur donne des capacités complètes de contrôle à distance, de reconnaissance et de collecte d’informations d’identification.
Pour atteindre cet objectif, ils utilisent des comptes compromis pour les tableaux de chargement afin de publier des listes de fret frauduleuses, ou enfreignent les comptes de messagerie des courtiers et des répartiteurs, puis détournent les fils de discussion des e-mails pour diriger les victimes vers une URL malveillante.
Selon les chercheurs, l’auteur de la menace atteint son objectif en envoyant des courriels directement aux transporteurs d’actifs, aux sociétés de courtage de fret et aux fournisseurs de chaînes d’approvisionnement intégrées, mais cela s’est produit principalement pour les grandes entités.
À ce stade, l’ingénierie sociale joue un rôle clé, où les attaquants adaptent leurs messages pour des négociations de chargement urgentes et exploitent la confiance dans les paquets de chargement, démontrant ainsi leur connaissance du fonctionnement de l’industrie du fret.
Les pages externes sont bien conçues et semblent légitimes en plaçant une marque de transporteur convaincante, et conduisent au téléchargement d’exécutables ou de fichiers MSI d’installation qui installent un outil RMM.
Au moyen de ces outils, qui sont des logiciels légitimes, l’attaquant peut contrôler la machine compromise et peut modifier les réservations, bloquer les notifications du répartiteur, ajouter ses propres appareils aux extensions téléphoniques du répartiteur et réserver des chargements sous l’identité de l’opérateur compromis.
« Ces MMR sont souvent utilisés en tandem; par exemple, PDQ Connect a été observé en train de télécharger et d’installer ScreenConnect et SimpleHelp”, explique Proofpoint.
“Une fois l’accès initial établi, l’auteur de la menace effectue une reconnaissance du système et du réseau et déploie des outils de collecte d’informations d’identification tels que WebBrowserPassView”, expliquent les chercheurs.
La reconnaissance et la récolte des informations d’identification indiquent un objectif d’attaque plus large qui inclut un pivotement plus profond dans les environnements compromis.
Proofpoint note que les attaques suggèrent une connaissance approfondie des itinéraires, du calendrier et des types de marchandises de grande valeur, ce qui permet aux cybercriminels de sélectionner les envois les plus rentables à voler.
Les chercheurs pensent que les pirates informatiques « travaillent avec des groupes du crime organisé pour compromettre des entités de l’industrie du transport de surface » et détourner le fret de fret.
Une entreprise de transport ciblée par de telles attaques explique que les pirates ont incité leur répartiteur à installer un outil RMM et ont pris le contrôle de leur compte.
L’attaquant « a supprimé tous les e-mails de réservation et bloqué les notifications » et a ajouté son appareil au poste téléphonique du répartiteur. Cela leur a permis de se faire passer pour l’entreprise victime et de parler directement aux courtiers.
« Lors de la réservation de chargements, il a utilisé notre e — mail officiel MC + téléphone (répertorié sur FMCSA) », a déclaré un représentant du transporteur victime, ajoutant que » Les courtiers, Autoroute, MyCarrierPackets appelaient notre numéro et notre e-mail-le pirate répondait, vérifiait tout, et a obtenu les chargements. »
Les marchandises volées, qui comprennent des produits tels que des aliments, des boissons et des appareils électroniques, sont physiquement interceptées ou réacheminées, puis vendues en ligne ou expédiées à l’étranger.
Bien que Proofpoint ait observé l’utilisation d’outils RMM dans les attaques, la société note que des voleurs d’informations tels que NetSupport, DanaBot, Lumma Stealer et StealC ont également été déployés dans des activités connexes, bien que l’attribution à des clusters spécifiques n’ait pas été possible.
Les défenses recommandées incluent la restriction de l’installation d’outils RMM non approuvés, la surveillance de l’activité du réseau et le blocage .EXE et .Pièces jointes MSI au niveau de la passerelle de messagerie.