Um grupo vinculado ao crime organizado tem utilizado ferramentas de acesso remoto para se infiltrar em plataformas de logística, coletar credenciais financeiras e realizar desvios de carga física.
Pesquisadores da Proofpoint identificaram uma operação coordenada de um grupo criminoso que visa atacas transportadoras e empresas de logística nos Estados Unidos. O objetivo principal é roubar cargas e interceptar transferências financeiras, conforme relatório divulgado pela empresa de segurança.
O ataque começa com engenharia social. Os criminosos comprometeram uma plataforma de licitação de fretes, conhecidas como load boards, e posteriormente enviaram e-mails falsos a transportadoras oferecendo oportunidades de trabalho inexistentes.
Essas mensagens continham arquivos VBS maliciosos. Quando executados, esses arquivos geravam uma sequência de comandos PowerShell, instalavam o ScreenConnect para acesso remoto e apresentavam contratos falsos para encobrir a intrusão.
A Proofpoint obteve detalhes dessa operação, pois, em fevereiro de 2026, os atacantes comprometeram um ambiente de isca controlado pela empresa parceira Deception.pro, permanecendo ativos por mais de um mês e fornecendo uma visão rara sobre suas ferramentas e comportamentos.
Após vazamento, Claude Code pode ser usado de graça
Persistência e técnicas avançadas de invasão
Depois de garantir acesso inicial, o grupo priorizou a persistência. Em um mês, instalaram múltiplas instâncias do ScreenConnect e outras ferramentas como Pulseway e SimpleHelp para manter controle mesmo se uma delas fosse detectada.
Utilizando uma técnica chamada “signing-as-a-service”, os atacantes baixaram um instalador do ScreenConnect, re-assinaram o executável com um certificado fraudulentamente válido e o instalaram sem atrair suspeitas.
Isso ocorre porque certificados revogados não funcionam. Ao substituir componentes originais por versões re-assinadas, os invasores mantinham acesso remoto de forma legítima e escondida contra ferramentas de segurança.
Coleta de dados financeiros e logísticos
Com um acesso estável, os atacantes avançaram para uma fase de coleta e reconhecimento. Eles fizeram verificações manuais em contas como PayPal e utilizaram uma ferramenta customizada para encontrar dados de carteiras de criptomoeda, enviando os resultados via Telegram.
Vercel confirma invasão após hacker colocar dados à venda por US$ 2 milhões
Mais de uma dúzia de scripts PowerShell foram empregados para criar perfis das vítimas. Esses scripts coletaram dados como histórico de navegação e informações de usuário, além de indícios de acesso a plataformas bancárias e de pagamento.
Os criminosos conseguiram adaptar seu comportamento para contornar controles de segurança, usando tarefas agendadas e rodando scripts com privilégios SYSTEM, o que aumentava suas chances de sucesso.
Os alvos identificados incluíam bancos, serviços de transferência de dinheiro, sistemas de pagamento para frotas e plataformas de frete.
Perdas bilionárias
A Proofpoint havia alertado anteriormente, em novembro de 2025, que criminosos estavam explorando ferramentas RMM (gerenciamento e monitoramento remoto) para atacar o setor de transporte.
Operação PowerOff derruba 53 domínios de DDoS e prende suspeitos
Esse grupo tem estado ativo desde junho de 2025 e opera em conjunto com o crime organizado para desviar cargas, focando principalmente em produtos alimentícios e bebidas. As perdas relatadas na América do Norte em decorrência desse tipo de ataque somaram impressionantes US$ 6,6 bilhões em 2025.
“Para as organizações de transporte, logística e frete, esses achados ressaltam a necessidade de monitorar o uso de ferramentas de gerenciamento remoto não autorizadas, atividades suspeitas de PowerShell, e telemetria anômala de navegadores associadas ao acesso a plataformas financeiras”, conclui o relatório da Proofpoint.
Siga o TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.