Pesquisadores da Proofpoint revelaram a atuação de um grupo criminoso que tem realizado ataques coordenados contra transportadoras e empresas de logística nos Estados Unidos. O foco dessas ações é o roubo de cargas físicas, especialmente de alimentos e bebidas, além da interceptação de transferências financeiras, estabelecendo uma conexão direta com o crime organizado.
Estratégias de Ataque e Engenharia Social
Os ataques têm início por meio de técnicas de engenharia social. Os criminosos comprometeram uma plataforma de licitação de fretes, conhecida como load boards, e, em seguida, enviaram e-mails falsos para transportadoras, oferecendo oportunidades de trabalho que na verdade eram iscas para as invasões. A mensagem incluía um arquivo VBS malicioso que, ao ser executado, ativava uma cadeia de comandos PowerShell e instalava o software ScreenConnect, permitindo acesso remoto ao sistema da vítima.
Infiltração e Persistência
Após obter o acesso inicial, a prioridade do grupo era garantir uma presença persistente nas redes das empresas atacadas. Durante mais de um mês, eles instalaram diversas instâncias do ScreenConnect, além de outras ferramentas como Pulseway e SimpleHelp, para manter o controle, mesmo que uma delas fosse detectada e removida.
Métodos Inovadores de Acesso
Um dos métodos utilizados pelos atacantes é denominado 'signing-as-a-service'. Esse processo envolvia baixar o instalador do ScreenConnect, re-assinar o executável com um certificado fraudulento que, embora válido, não era legítimo, permitindo que fosse instalado sem levantar suspeitas. Essa abordagem garante acesso remoto contínuo e disfarçado, dificultando a identificação por parte das ferramentas de segurança.
Coleta de Dados Sensíveis
Com um acesso estável, os atacantes avançaram para a coleta de informações. Eles realizaram verificações em contas financeiras, como o PayPal, e utilizaram uma ferramenta personalizada para identificar dados de carteiras de criptomoedas. Os resultados eram enviados em tempo real via Telegram, um canal utilizado para exfiltração de dados.
Técnicas de Profiling e Execução
Para mapear suas vítimas, os criminosos empregaram mais de uma dúzia de scripts PowerShell. Essas ferramentas analisavam histórico de navegação, dados de usuários e acessos a plataformas bancárias e de pagamento. Os scripts copiavam arquivos protegidos, armazenavam informações em pastas ocultas e operavam com privilégios elevados, permitindo uma coleta de dados eficaz e abrangente.
Impacto Econômico e Medidas de Segurança
O impacto financeiro desses ataques é alarmante, com perdas que ultrapassaram US$ 6,6 bilhões somente em 2025 na América do Norte. O grupo criminoso está ativo desde junho de 2025 e colabora com o crime organizado para desviar cargas, especialmente de produtos alimentícios e bebidas. A Proofpoint ressalta a necessidade urgente de que as empresas de transporte e logística monitorem ferramentas de gerenciamento remoto não autorizadas e permaneçam atentas a atividades suspeitas.
Esses achados evidenciam a importância de um monitoramento rigoroso das atividades de rede, especialmente aquelas relacionadas a sistemas financeiros e de pagamento, para prevenir novos ataques. A segurança cibernética deve ser uma prioridade para as organizações do setor, visando proteger não apenas seus ativos, mas também a integridade das operações.
