Finančně motivovaná skupina označovaná jako „Diesel Vortex“ krade přihlašovací údaje od přepravních a logistických společností v USA a Evropě prostřednictvím phishingových útoků využívajících 52 domén.
Kampaň probíhá od září 2025 a útočníkům se podařilo odcizit 1 649 unikátních přihlašovacích údajů z platforem a poskytovatelů služeb klíčových pro odvětví nákladní dopravy. Mezi oběťmi skupiny Diesel Vortex figurují například DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka a Electronic Funds Source (EFS).
Výzkumníci z platformy Have I Been Squatted, která monitoruje typosquatting, kampaň odhalili poté, co narazili na veřejně přístupné úložiště obsahující SQL databázi z phishingového projektu. Útočník tento projekt interně nazval Global Profit a dalším kyberzločincům ho nabízel pod názvem MC Profit Always. Úložiště také obsahovalo soubor s logy Telegram webhooků, které odhalily komunikaci mezi provozovateli phishingové služby. Na základě použitého jazyka se výzkumníci domnívají, že Diesel Vortex je arménsky mluvící aktér napojený na ruskou infrastrukturu.
K analýze se připojila také společnost Ctrl-Alt-Intel, poskytovatel tokenizační infrastruktury, která pomocí metod OSINT propojila provozovatele, infrastrukturu a vazby na různé společnosti. V rozsáhlé technické zprávě Have I Been Squatted uvádí, že celkem odhalila téměř 3 500 odcizených párů přihlašovacích údajů, z nichž 1 649 bylo unikátních.
Výzkumníci rovněž nalezli odkaz na myšlenkovou mapu vytvořenou jedním z členů skupiny, která popisuje vysoce organizovanou operaci zahrnující call centrum, e-mailovou podporu, programátorské role a pracovníky zodpovědné za vyhledávání řidičů, dopravců a logistických kontaktů. Mapa také obsahovala podrobnosti o akviziční kanálech, včetně tržiště DAT One, e-mailových kampaní, podvodů s potvrzením sazeb a příjmů pro různé provozní úrovně.
Útoky spočívají v rozesílání phishingových e-mailů prostřednictvím maileru phishingové sady využívající Zoho SMTP a Zeptomail, přičemž v polích odesílatele a předmětu jsou použity triky s kyrilskými homoglyfy, aby se zprávy vyhnuly bezpečnostním filtrům. Součástí útoků byl také vishing a infiltrace do Telegram kanálů, které navštěvují pracovníci z oblasti kamionové a logistické dopravy.
Jakmile oběť klikne na phishingový odkaz, ocitne se na minimalistické HTML stránce na doméně „.com“ s celoobrazovkovým iframe načítajícím phishingový obsah, po němž následuje devítistupňový maskovací proces na systémové doméně (.top/.icu). Phishingové stránky jsou na pixel přesnou kopií cílených logistických platforem a v závislosti na cíli mohou zachytit přihlašovací údaje, údaje o povolení, čísla MC/DOT, přihlašovací údaje RMIS, PINy, kódy dvoufaktorového ověření, bezpečnostní tokeny, výše plateb, jména příjemců a čísla šeků.
Celý phishingový proces je pod přímou kontrolou operátora, který prostřednictvím Telegram botů rozhoduje o schválení jednotlivých kroků a aktivaci dalších fází. Možné akce zahrnují vyžádání hesla pro Google, Microsoft Office 365 a Yahoo, metody 2FA, přesměrování oběti nebo dokonce její zablokování uprostřed relace.
Výzkumníci uvádějí, že operace Diesel Vortex, včetně panelů, phishingových domén a GitLab repozitářů, byla narušena koordinovanou akcí za účasti GitLabu, Cloudflare, Google Threat Intelligence, CrowdStrike a Microsoft Threat Intelligence Center.
Společnost Ctrl-Alt-Intel provedla OSINT vyšetřování vycházející z arménsky vedených Telegram chatů o krádeži nákladu nebo finančních prostředků a z e-mailové adresy. Spolu s doménovým jménem nalezeným ve zdrojovém kódu phishingového panelu výzkumníci odhalili vazby na osoby a společnosti v Rusku působící ve velkoobchodu, dopravě a skladování.
Zdroj: bleepingcomputer.com
