{"id":527676,"date":"2026-04-20T17:00:00","date_gmt":"2026-04-20T20:00:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/20\/criminosos-invadem-empresas-de-logistica-para-roubar-cargas-e-desviar-pagamentos\/"},"modified":"2026-04-20T17:00:00","modified_gmt":"2026-04-20T20:00:00","slug":"criminosos-invadem-empresas-de-logistica-para-roubar-cargas-e-desviar-pagamentos","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/geral\/2026\/04\/20\/criminosos-invadem-empresas-de-logistica-para-roubar-cargas-e-desviar-pagamentos\/","title":{"rendered":"Criminosos invadem empresas de log\u00edstica para roubar cargas e desviar pagamentos"},"content":{"rendered":"<p>Criminosos ligados ao crime organizado invadiram plataformas de log\u00edstica para roubar cargas f\u00edsicas e direcionar pagamentos. Pesquisadores da Proofpoint identificaram ataques coordenados contra transportadoras e empresas de log\u00edstica nos Estados Unidos, com objetivo de desviar cargas e interceptar transfer\u00eancias financeiras. O estudo aponta que as opera\u00e7\u00f5es contam com infiltra\u00e7\u00e3o via engenharia social e uso de ferramentas de acesso remoto.<\/p>\n<p>O vetor inicial envolveu comprometimento de uma plataforma de licita\u00e7\u00f5es de fretes, os chamados load boards. Em seguida, os atacantes enviaram mensagens por e-mail a transportadoras oferecendo trabalhos de transporte falsos. O conte\u00fado inclu\u00eda um arquivo VBS malicioso que, ao ser executado, disparava uma cadeia PowerShell, instalava o ScreenConnect e apresentava um contrato fraudulento para mascarar a intrus\u00e3o.<\/p>\n<p>A opera\u00e7\u00e3o ficou sob observa\u00e7\u00e3o em fevereiro de 2026, quando os invasores comprometeram um ambiente de isca controlado pela parceira Deception.pro. O ambiente permaneceu vulner\u00e1vel por mais de um m\u00eas, permitindo aos investigadores acompanhar as ferramentas, a cadeia de decis\u00f5es e o comportamento p\u00f3s acesso dos invasores.<\/p>\n<h3>Modo de persist\u00eancia e assinatura de c\u00f3digo<\/h3>\n<p>Ap\u00f3s obter acesso inicial, o grupo priorizou a persist\u00eancia. Ao longo de um m\u00eas, foram instaladas v\u00e1rias inst\u00e2ncias do ScreenConnect, al\u00e9m de Pulseway e SimpleHelp, com o objetivo de manter controle mesmo que uma ferramenta fosse detectada e removida.<\/p>\n<p>Os criminosos utilizaram o mecanismo de signing-as-a-service. Eles executaram uma cadeia PowerShell para baixar o instalador do ScreenConnect, re-assinar o execut\u00e1vel com um certificado fraudulento, e instalar o software de forma silenciosa. A estrat\u00e9gia contornava certificados revogados e conferia apar\u00eancia de legitimidade aos componentes usados.<\/p>\n<h3>Coleta de credenciais e foco financeiro<\/h3>\n<p>Com acesso est\u00e1vel, a etapa seguinte envolveu reconhecimento e coleta de dados. Verifica\u00e7\u00f5es manuais foram realizadas em contas como PayPal, e uma ferramenta personalizada localizou informa\u00e7\u00f5es de carteiras digitais, com envio dos resultados via Telegram.<\/p>\n<p>Mais de uma d\u00fazia de scripts PowerShell foram empregados para mapear as v\u00edtimas, incluindo hist\u00f3rico de navega\u00e7\u00e3o, dados de usu\u00e1rio e ind\u00edcios de acesso a plataformas banc\u00e1rias, de pagamento, log\u00edstica e contabilidade. Os scripts copiavam arquivos bloqueados, armazenavam dados em pastas ocultas e operavam com privil\u00e9gios SYSTEM.<\/p>\n<p>As plataformas-alvo inclu\u00edam bancos, servi\u00e7os de transfer\u00eancia financeira, sistemas de pagamento de frotas e plataformas de frete. O Telegram era usado como canal de exfiltra\u00e7\u00e3o de dados e de envio de credenciais e resultados de scripts em tempo real.<\/p>\n<h3>Impacto financeiro e contexto<\/h3>\n<p>Segundo a Proofpoint, o grupo atua desde junho de 2025 e coopera com o crime organizado para desviar cargas, com \u00eanfase em alimentos e bebidas. As perdas reportadas na Am\u00e9rica do Norte chegaram a 6,6 bilh\u00f5es de d\u00f3lares em 2025, em golpes envolvendo ferramentas de monitoramento remoto.<\/p>\n<p>O relat\u00f3rio ressalta a necessidade de monitorar uso n\u00e3o autorizado de ferramentas de gerenciamento remoto, atividade suspeita em PowerShell e telemetria an\u00f4mala de navegadores associada ao acesso a plataformas financeiras. Especialistas recomendam refor\u00e7ar controles de seguran\u00e7a e auditoria de credenciais em plataformas de frete e pagamentos.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Grupo ligado ao crime organizado usa ferramentas de acesso remoto para infiltrar plataformas de frete, com o objetivo de roubar cargas f\u00edsicas e interceptar transfer\u00eancias financeiras nos Estados Unidos.<\/li>\n<li>O ataque come\u00e7a com engenharia social: comprometeram uma plataforma de licita\u00e7\u00e3o de fretes (load boards) e enviaram e-mails com falsas oportunidades de transporte, contendo um arquivo VBS malicioso que, ao ser aberto, dispara PowerShell, instala o ScreenConnect e exibe um contrato falso.<\/li>\n<li>Em fevereiro de 2026, os invasores comprometeram um ambiente de isca controlado pela parceria Deception.pro, permanecendo l\u00e1 por mais de um m\u00eas e dando visibilidade sobre ferramentas, decis\u00f5es e comportamento ap\u00f3s o acesso.<\/li>\n<li>A persist\u00eancia foi alcan\u00e7ada por meio de m\u00faltiplas inst\u00e2ncias do ScreenConnect, al\u00e9m de Pulseway e SimpleHelp, em um esquema descrito como \u201csigning-as-a-service\u201d (re-assinatura de execut\u00e1veis com certificado fraudulento) para manter acesso remoto furtivo.<\/li>\n<li>As a\u00e7\u00f5es incluem coleta de credenciais e dados financeiros via Telegram, uso de mais de uma d\u00fazia de scripts PowerShell para mapear bancos, pagamentos, log\u00edstica e plataformas de frete, e foco em perdas de bilh\u00f5es de d\u00f3lares na Am\u00e9rica do Norte, estimadas em US$ 6,6 bilh\u00f5es em 2025.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":527686,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Grupo ligado ao crime organizado usa acesso remoto para roubar cargas e interceptar pagamentos em plataformas de frete, com perdas de US$ 6,6 bilh\u00f5es na Am\u00e9rica do Norte em 2025","footnotes":""},"categories":[298,1],"tags":[84,104,247,95,132,189],"class_list":["post-527676","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geral","category-noticias","tag-acontecimentos-internacionais","tag-apps","tag-financeiro","tag-redes-sociais","tag-startups","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/527676","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=527676"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/527676\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/527686"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=527676"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=527676"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=527676"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}