Um grupo criminoso tem executado ataques coordenados contra empresas de logística e transportadoras nos Estados Unidos com o objetivo de roubar cargas físicas e interceptar transações financeiras. As operações, que possuem ligação direta com o crime organizado, utilizam engenharia social como vetor inicial para comprometer as operações das vítimas.
Engenharia social e acesso remoto como porta de entrada
A estratégia dos criminosos começa com o comprometimento de plataformas de licitação de fretes, conhecidas como ‘load boards’. A partir daí, eles enviam e-mails a transportadoras oferecendo falsos trabalhos de transporte. A mensagem maliciosa contém um arquivo VBS que, ao ser executado, inicia uma cadeia de comandos em PowerShell. Essa sequência de ações instala o software de acesso remoto ScreenConnect e exibe um contrato falso para disfarçar a intrusão e manter o acesso.
Persistência e disfarce com certificados fraudulentos
Após garantir o acesso inicial, a prioridade do grupo é a persistência. Ao longo de um mês, os atacantes instalaram múltiplas instâncias de ferramentas de acesso remoto, como ScreenConnect, Pulseway e SimpleHelp, visando manter o controle mesmo que uma delas seja detectada. Uma técnica notável empregada é o ‘signing-as-a-service’, onde os criminosos utilizam scripts PowerShell para baixar o instalador do ScreenConnect, re-assinar o executável com um certificado fraudulento, mas tecnicamente válido, e instalá-lo silenciosamente. Essa manobra garante acesso remoto persistente e com aparência legítima, contornando ferramentas de segurança que poderiam bloquear certificados revogados.
Coleta de dados financeiros e logísticos
Com acesso estável, os invasores focam na coleta de informações sensíveis. Eles executam verificações manuais em contas como PayPal e utilizam ferramentas customizadas para localizar dados de carteiras de criptomoedas, enviando os resultados via Telegram. Mais de uma dúzia de scripts PowerShell são empregados para perfilar as vítimas, analisando histórico de navegação, dados de usuário e indícios de acesso a plataformas bancárias, de pagamento, logística e contabilidade. Esses scripts copiam arquivos, armazenam dados em pastas ocultas e operam com privilégios de sistema, varrendo bancos de dados de navegadores e identificando serviços de alto valor.
Impacto financeiro e alvos específicos
Os alvos mapeados pelos criminosos incluem bancos, serviços de transferência de dinheiro, sistemas de pagamento de frotas e plataformas de frete. O grupo, ativo desde junho de 2025, atua em conjunto com o crime organizado, com foco em cargas de alimentos e bebidas. As perdas reportadas na América do Norte por esse tipo de golpe atingiram a marca de US$ 6,6 bilhões em 2025, evidenciando a escala do prejuízo financeiro causado por essas operações.
