Eine kriminelle Gruppe, die auf wirtschaftliche Vorteile abzielt, die von Forschern als In den Warenkorb hat eine anspruchsvolle Phishing-Kampagne für Transport- und Logistikbetreiber in den USA und Europa aufgebaut. Laut der von der Typosquating-Überwachungsplattform veröffentlichten Analyse Habe ich gesät die Operation begann im September 2025 und mindestens 52 Domains für seine betrügerische Infrastruktur, mit insgesamt fast 3.500 Paaren von Anmeldeinformationen erfasst und 1.649 einzelne Anmeldeinformationen verlobt.
Die Ziele waren nicht Technologieunternehmen, die für ihre Sicherheit bekannt waren, sondern Plattformen und Dienstleistungen, die der Transportsektor täglich nutzt: Frachtbörsen, Flottenforen, Tankkartensysteme und Transportmanagementportale. Unter den identifizierten Opfern sind Namen des Sektors als DAT Truckstop, TIMOCOM, Teleroute, Penske Logistik, Girteka und Quelle elektronischer Fonds (EFS). Diese Plattformen befinden sich am Schnittpunkt zwischen hohes Volumen der Transaktionen und eine Gruppe von Benutzern - Fahrern, Agenten und Corralones - die oft nicht im Kern der traditionellen Business Security Programme sind.
Die Untersuchung begann, als die Experten von Have I Been Squatted einem exponierten Repository begegneten, das eine SQL-Datenbank enthält, die zu einem Phishing-Projekt gehört, das von seinen Autoren als "Global Profit" benannt und unter Kriminellen als "MC Profit Always" vermarktet wurde. In diesem Repository gab es auch Aufzeichnungen von Telegram Webhooks, die interne Kommunikation des Dienstes in Sicht gelassen, die Analysten erlaubte, wichtige Teile der Operation wieder aufzubauen.
Die von den Forschern beschriebenen technischen Details zeigen eine sorgfältig gestaltete Täuschungskette. Die schädlichen E-Mails wurden von einem in das Phishing-Kit integrierten Mailer mit legitimen SMTP-Diensten wie Zoho und Zeptomail gesendet, und sie benutzten kyrillische Homograph Tricks innerhalb des Senders und die Angelegenheit, Filter zu verstreut. Durch Anklicken des Links wurde das Opfer auf eine minimale HTML-Seite in einer ".com"-Domain geleitet, die ein komplettes Iphrame mit dem wahren Phishing-Inhalte auf dem Bildschirm geladen hat, und dann einen Clapping-Prozess in bis zu neun Stufen über Systemdomänen (.top / .icu) angewendet, um den tatsächlichen Ursprung zu verbergen.
Die betrügerischen Seiten waren nicht ästhetisch vernachlässigt: sie waren Repliken auf Pixelebene der angegriffenen Plattformen. Je nach Ziel können diese Seiten nicht nur Benutzer und Passwort erfassen, sondern auch sensible Daten aus Berechtigungen, MC / DOT-Nummern, RMIS-Berechtigungen, PINS, Zwei-Faktor-Authentifizierungscodes, Sicherheits-Token, Beträge und Auszahlungsempfänger oder Kontrollnummern. Kurz gesagt, Zugang und ausreichende Materialien, um Logistikbetrieben zu entführen oder Sendungen abzuleiten.
Die Tätigkeit der Gruppe scheint hoch organisiert zu sein. Die Forscher fanden eine von dem Projekt verknüpfte mentale Karte, die eine Struktur mit Callcenter, Mail-Support, Programmierer und Personal, die sich für die Ortung von Fahrern, Trägern und Logistikkontakten. Diese Regelung beschreibt Beschaffungskanäle als Frachtmärkte, Postkampagnen und Steuerbestätigung Betrug Taktiken, zusätzlich zu einem Niveau Einkommensmodell. Die Belege weisen darauf hin, dass die erfassten Anmeldeinformationen nicht nur verkauft wurden, sondern für nachfolgende Operationen verwendet wurden: Frachtsupplanting, Postfachverlobung und Doppel- oder Lastableitungssysteme.
Die doppelte Brokerage besteht darin, die Identität der gestohlenen Transportunternehmen zu nutzen, um Transportdienste zu mieten und, sobald die Ladung im Transit ist, sie an betrügerische Sammelstellen umzuleiten, wo sie verschwindet. Die reale Wirkung ist nicht nur digital: Wir sprechen über gestohlene Waren, Zahlungen, die nie nach rechts kommen und eine Kette von Frustrationen und Verlusten für Frachtbesitzer und Transporter.
Ein weiterer besorgniserregender Aspekt der Kampagne war die Verwendung von Sprachkanälen, um Menschen zu täuschen (Besichtigung) und die Infiltration der populären Telegram-Kanäle unter den Verkehrsexperten, die sowohl die Rekrutierung von Opfern als auch die operative Koordination erleichtert. Die Phishing-Operatoren kontrollierten den Angriffsfluss in Echtzeit mittels Telegram-Bots, die Phasen genehmigen, zusätzliche Passwörter anfordern oder sogar das Opfer in der Mitte der Sitzung blockieren durften, wie die Täuschung entwickelt.
Die Forschung, neben dem zentralen Teil von Have I Been Squatted, wurde von der Gesellschaft der Tokenisierung und OSINT unterstützt Ctrl-Alt-Intel, die Verbindungen zwischen Betreibern, Infrastrukturen und kommerziellen Einrichtungen unter Verwendung von Open Source-Geheimdiensten herstellen. Ein Teil der nexus umfasste die Entstehung der gleichen E-Mail in russischen Unternehmensaufzeichnungen, die mit Unternehmen im Großhandel, Transport und Lagerung verbunden sind, was darauf hindeutet, dass Verbindungen zwischen der Phishing-Infrastruktur und den Akteuren in der realen Wirtschaft im Zusammenhang mit dem gleichen Zielsektor.
Die koordinierte Reaktion bei der Entdeckung der Operation für die Intervention und Demontage von vielen der Infrastruktur erlaubt: Panels, Domains und Repositories, die auf Plattformen wie GitLab gehostet wurden, wurden nach der Zusammenarbeit zwischen GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike und dem Microsoft Threat Intelligence Center neutralisiert. Die verteilte Art von Betrug und die Verwendung von temporären Domains und legitimen Postdiensten machen jedoch deutlich, dass das Risiko nicht mit einer einzigen Eindämmungsaktion verschwindet.
Für Unternehmen und Transportprofis ist die Lektion doppelt: Zum einen ist die Hauptverletzlichkeit Mensch und ist in Prozessen und Anwendern, die den täglichen Betrieb bewältigen; zum anderen erfordert die technische Raffinesse der Angriffe robuste technische Maßnahmen. In der Praxis ist es angebracht, die Postkontrollen mit fortschrittlichen Anti-Phishing-Richtlinien zu stärken, starke Authentifizierungsmethoden (wie Hardware-Schlüssel oder FIDO-Lösungen) anstatt SMS zu verlangen, Zugriffsrechte zu segmentieren und zu begrenzen, ungewöhnliche Zugriffe auf Konten und Endpunkte zu überwachen und klare Verfahren zur Überprüfung von Änderungen in Zahlungsanweisungen oder Lieferstellen zu haben. Microsoft bietet praktische Richtlinien für Phishing-Schutz und gute Corporate Mail-Sicherheit Praktiken, die als Referenz dienen können: Microsoft -Phishing-Schutzdokumentation.
Wenn Ihr Unternehmen im Verkehrssektor tätig ist oder Frachtwechselplattformen nutzt, wird empfohlen, die von den Forschern veröffentlichten Verpflichtungsindikatoren (IoC) und technischen Details zu überprüfen. Habe ich in Ihrem Bericht angestammt, enthält die Liste der IoC - Netzwerke, Domains, Telegram, E-Mails und Kryptomoneda Adressen - die Sicherheitsteams zu suchen, Block bekannte Artefakte und Anpassung Regeln in Mail-Gateways und Firewalls ermöglichen: Bericht und IoC von Have I Been Squatted. Die Ctrl-Alt-Intel-Forschung bietet auch OSINT-Kontext über die Verbindungen zwischen Betreibern und Unternehmen im Sektor: OSINT-Analyse von Ctrl-Alt-Intel.
Kurz gesagt, Diesel Vortex ist eine Erinnerung daran, dass Cyberkriminalität zu zunehmend integrierten Operationen mit kriminellen Aktivitäten außerhalb der digitalen Welt entwickelt. Es geht nicht nur darum, ein Passwort zu stehlen, sondern darum, eine Kette zu starten, die in fehlende Güter, Millionen von Betrug und Verlust von Vertrauen in einen Sektor, der für die globale Wirtschaft kritisch ist übersetzt werden kann. Die beste Verteidigung wird sein, technische Kontrollen, kontinuierliche Schulung von Menschen in der Logistikkette und enge Zusammenarbeit zwischen Lieferanten, Plattformen und Notfall-Reaktionsteams zu kombinieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...