){kind=link}
Pesquisadores da Proofpoint identificaram um grupo criminoso realizando ataques coordenados contra transportadoras e empresas de logística nos Estados Unidos. O objetivo é roubar cargas físicas e interceptar transferências financeiras. As operações têm ligação direta com o crime organizado, segundo o relatório divulgado pela empresa de segurança.
O vetor inicial é engenharia social. Os atacantes comprometeram uma plataforma de licitação de fretes, os chamados load boards. Depois disso, enviaram e-mails a transportadoras oferecendo falsos trabalhos de transporte.
smart_display
Nossos vídeos em destaque
A mensagem entregava um arquivo VBS malicioso. Ao ser executado, o arquivo disparava uma cadeia PowerShell, instalava o ScreenConnect para acesso remoto e exibia um contrato falso para disfarçar a intrusão.
A Proofpoint conseguiu observar a operação em detalhes porque, em fevereiro de 2026, os atacantes comprometeram um ambiente de isca controlado pela empresa parceira Deception.pro. O ambiente ficou comprometido por mais de um mês, dando visibilidade rara sobre as ferramentas, a cadeia de decisões e o comportamento pós-acesso dos invasores.
Persistência por camadas e assinatura de código como serviço
Depois de garantir o acesso inicial, a prioridade do grupo foi a persistência. Ao longo de um mês, eles instalaram múltiplas instâncias do ScreenConnect, além das ferramentas Pulseway e SimpleHelp. O objetivo era manter controle mesmo que uma das ferramentas fosse detectada e removida.
)
Os criminosos usaram um método chamado pelos pesquisadores de “signing-as-a-service”. Basicamente, o grupo usou uma cadeia PowerShell para baixar o instalador do ScreenConnect, re-assinar o executável com um certificado fraudulento, mas tecnicamente válido, e instalá-lo silenciosamente.
Isso porque certificados revogados deixam de funcionar. Ao substituir os componentes originais por versões re-assinadas, os atacantes garantiam acesso remoto persistente e com aparência legítima para as ferramentas de segurança.
Coleta de credenciais com foco em finanças e logística
Com acesso estável, os atacantes partiram para a fase de reconhecimento e coleta. Eles executaram manualmente verificações em contas como o PayPal e rodaram uma ferramenta customizada para localizar dados de carteiras de criptomoedas, enviando os resultados via Telegram.
)
Mais de uma dúzia de scripts PowerShell foram usados para perfilar as vítimas. Para isso, os criminosos usavam dados como histórico de navegação, dados de usuário e indícios de acesso a plataformas bancárias, de pagamento, logística e contabilidade.
Os scripts copiavam arquivos bloqueados pelo sistema, armazenavam dados em pastas ocultas e rodavam com privilégios SYSTEM. Os atacantes varreram os bancos de dados de navegadores, identificaram serviços de alto valor e reportaram os achados via Telegram. Eles, inclusive, usavam tarefas agendadas para contornar controles de segurança.
Os alvos mapeados incluíam bancos, serviços de transferência de dinheiro, sistemas de pagamento de frotas e plataformas de frete.
)
Prejuízo em escala bilionária
A Proofpoint havia relatado pela primeira vez, em novembro de 2025, que criminosos estavam usando ferramentas RMM, um software de monitoramento e gerenciamento remoto, para atacar o setor de transportes.
O grupo está ativo desde junho de 2025 e atua em conjunto com o crime organizado para desviar cargas, com foco em alimentos e bebidas. As perdas reportadas na América do Norte por esse tipo de golpe chegaram a US$ 6,6 bilhões em 2025.
“Para organizações de transporte, logística e frete, esses achados reforçam a importância de monitorar ferramentas de gerenciamento remoto não autorizadas, atividade PowerShell suspeita e telemetria anômala de navegadores associada ao acesso a plataformas financeiras”, conclui o relatório da Proofpoint.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.