- Grupo ligado ao crime organizado usa ferramentas de acesso remoto para infiltrar plataformas de frete, com o objetivo de roubar cargas físicas e interceptar transferências financeiras nos Estados Unidos.
- O ataque começa com engenharia social: comprometeram uma plataforma de licitação de fretes (load boards) e enviaram e-mails com falsas oportunidades de transporte, contendo um arquivo VBS malicioso que, ao ser aberto, dispara PowerShell, instala o ScreenConnect e exibe um contrato falso.
- Em fevereiro de 2026, os invasores comprometeram um ambiente de isca controlado pela parceria Deception.pro, permanecendo lá por mais de um mês e dando visibilidade sobre ferramentas, decisões e comportamento após o acesso.
- A persistência foi alcançada por meio de múltiplas instâncias do ScreenConnect, além de Pulseway e SimpleHelp, em um esquema descrito como “signing-as-a-service” (re-assinatura de executáveis com certificado fraudulento) para manter acesso remoto furtivo.
- As ações incluem coleta de credenciais e dados financeiros via Telegram, uso de mais de uma dúzia de scripts PowerShell para mapear bancos, pagamentos, logística e plataformas de frete, e foco em perdas de bilhões de dólares na América do Norte, estimadas em US$ 6,6 bilhões em 2025.
Criminosos ligados ao crime organizado invadiram plataformas de logística para roubar cargas físicas e direcionar pagamentos. Pesquisadores da Proofpoint identificaram ataques coordenados contra transportadoras e empresas de logística nos Estados Unidos, com objetivo de desviar cargas e interceptar transferências financeiras. O estudo aponta que as operações contam com infiltração via engenharia social e uso de ferramentas de acesso remoto.
O vetor inicial envolveu comprometimento de uma plataforma de licitações de fretes, os chamados load boards. Em seguida, os atacantes enviaram mensagens por e-mail a transportadoras oferecendo trabalhos de transporte falsos. O conteúdo incluía um arquivo VBS malicioso que, ao ser executado, disparava uma cadeia PowerShell, instalava o ScreenConnect e apresentava um contrato fraudulento para mascarar a intrusão.
A operação ficou sob observação em fevereiro de 2026, quando os invasores comprometeram um ambiente de isca controlado pela parceira Deception.pro. O ambiente permaneceu vulnerável por mais de um mês, permitindo aos investigadores acompanhar as ferramentas, a cadeia de decisões e o comportamento pós acesso dos invasores.
Modo de persistência e assinatura de código
Após obter acesso inicial, o grupo priorizou a persistência. Ao longo de um mês, foram instaladas várias instâncias do ScreenConnect, além de Pulseway e SimpleHelp, com o objetivo de manter controle mesmo que uma ferramenta fosse detectada e removida.
Os criminosos utilizaram o mecanismo de signing-as-a-service. Eles executaram uma cadeia PowerShell para baixar o instalador do ScreenConnect, re-assinar o executável com um certificado fraudulento, e instalar o software de forma silenciosa. A estratégia contornava certificados revogados e conferia aparência de legitimidade aos componentes usados.
Coleta de credenciais e foco financeiro
Com acesso estável, a etapa seguinte envolveu reconhecimento e coleta de dados. Verificações manuais foram realizadas em contas como PayPal, e uma ferramenta personalizada localizou informações de carteiras digitais, com envio dos resultados via Telegram.
Mais de uma dúzia de scripts PowerShell foram empregados para mapear as vítimas, incluindo histórico de navegação, dados de usuário e indícios de acesso a plataformas bancárias, de pagamento, logística e contabilidade. Os scripts copiavam arquivos bloqueados, armazenavam dados em pastas ocultas e operavam com privilégios SYSTEM.
As plataformas-alvo incluíam bancos, serviços de transferência financeira, sistemas de pagamento de frotas e plataformas de frete. O Telegram era usado como canal de exfiltração de dados e de envio de credenciais e resultados de scripts em tempo real.
Impacto financeiro e contexto
Segundo a Proofpoint, o grupo atua desde junho de 2025 e coopera com o crime organizado para desviar cargas, com ênfase em alimentos e bebidas. As perdas reportadas na América do Norte chegaram a 6,6 bilhões de dólares em 2025, em golpes envolvendo ferramentas de monitoramento remoto.
O relatório ressalta a necessidade de monitorar uso não autorizado de ferramentas de gerenciamento remoto, atividade suspeita em PowerShell e telemetria anômala de navegadores associada ao acesso a plataformas financeiras. Especialistas recomendam reforçar controles de segurança e auditoria de credenciais em plataformas de frete e pagamentos.
Entre na conversa da comunidade