Hackers ajudam grupos do crime organizado em assaltos a cargas – Against Invaders – Notícias de CyberSecurity para humanos.

Hackers ajudam grupos do crime organizado em assaltos a cargas - Against Invaders - Notícias de CyberSecurity para humanos.

Os cibercriminosos estão ajudando grupos tradicionais do crime organizado a roubar bens físicos por meio do sequestro de carga.

Pesquisadores da empresa de segurança cibernética Proofpoint identificaram recentemente campanhas maliciosas ativas envolvendo hackers direcionados ao setor de transporte, especialmente empresas de transporte rodoviário e logística, na América do Norte.

Sua técnica de infecção preferida incluía o uso de ferramentas de gerenciamento de monitoramento remoto (RMM) e software de acesso remoto (RAS) para obter acesso aos sistemas de suas vítimas.

Cadeia de ataque: engenharia social, RMM e coleta de credenciais

Em um relatório de 3 de novembro, a Proofpoint revelou que o grupo de ameaças envolvido em suspeitas de roubo de carga está ativo desde pelo menos junho de 2025, com mais evidências sugerindo que as campanhas do grupo começaram já em janeiro de 2025.

A cadeia de ataque típica começa com três truques de engenharia social para entrar nos sistemas de alvos infectados. Esses incluem:

  • Placas de carga comprometidas: o invasor publica listagens de frete fraudulentas usando contas comprometidas em placas de carga e, em seguida, envia e-mails contendo URLs maliciosos para transportadoras que perguntam sobre as cargas
  • Sequestro de thread de e-mail: usando contas de e-mail comprometidas, os agentes de ameaças injetam conteúdo malicioso e URLs nas conversas existentes
  • Segmentação direta por meio de campanhas de e-mail: o invasor lança campanhas de e-mail direto contra entidades maiores, incluindo transportadoras baseadas em ativos, corretoras de frete e provedores integrados da cadeia de suprimentos. O acesso a essas entidades pode permitir que os atores identifiquem cargas de carga de alto valor ou descubram outras oportunidades para promover seus objetivos, como a postagem de cargas fraudulentas em placas de carga

Os e-mails maliciosos contêm URLs que levam a um arquivo executável (.exe) ou MSI (.msi), que, quando clicado, instala uma ferramenta RMM, concedendo ao agente da ameaça controle total da máquina comprometida.

“Em alguns casos, o agente da ameaça criará domínios e páginas de destino que se passam por marcas legítimas ou termos genéricos de transporte para aumentar a credibilidade da engenharia social”, observaram os pesquisadores da Proofpoint.

As ferramentas RMM e RAS implantadas nos sistemas de destino incluem ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able e LogMeIn Resolve – às vezes usadas em conjunto.

Depois que o acesso inicial é estabelecido, o invasor realiza o reconhecimento do sistema e da rede e implanta ferramentas de coleta de credenciais, como WebBrowserPassView.

“Essa atividade indica um esforço mais amplo para comprometer contas e aprofundar o acesso em ambientes específicos”, escreveram os pesquisadores.

Sobreposições com campanhas anteriores

Os pesquisadores identificaram infraestrutura de rede relacionada e táticas, técnicas e procedimentos (TTPs) semelhantes em campanhas que entregam NetSupport e ScreenConnect desde janeiro de 2025, “sugerindo um cronograma operacional mais longo”, dizia o relatório da Proofpoint.

Essas campanhas também mostraram algumas sobreposições com atividades maliciosas registradas entre 2024 e março de 2025, quando um agente de ameaça distribuiu uma variedade de infostealers, incluindo DanaBot, NetSupport, Ladrão de Lumma e StealC nos sistemas de organizações de transporte terrestre.

No entanto, os pesquisadores da Proofpoint não puderam confirmar com alta confiança se esses grupos de atividade estão relacionados.

“Todos parecem ter conhecimento sobre o software, serviços e políticas sobre como a cadeia de suprimentos de carga opera”, escreveram os pesquisadores.

O relatório também destacou que, se esses grupos de atividade vierem do mesmo grupo, o uso de ferramentas de RMM em vez de infostealers nas últimas campanhas pode sugerir uma sofisticação nas técnicas empregadas.

“Ladrões e RMMs servem ao mesmo propósito: acessar remotamente o alvo para roubar informações. No entanto, o uso de ferramentas de RMM pode permitir que os agentes de ameaças voem mais longe sob o radar. Os agentes de ameaças podem criar e distribuir ferramentas de monitoramento remoto de propriedade do invasor e, como são frequentemente usadas como softwares legítimos, os usuários finais podem suspeitar menos da instalação de RMMs do que outros trojans de acesso remoto”, escreveram os pesquisadores da Proofpoint.

“Além disso, essas ferramentas podem evitar detecções de antivírus ou rede porque os instaladores geralmente são cargas úteis legítimas e assinadas distribuídas maliciosamente.”

Roubo de carga cibernético, um problema global

A Proofpoint observou quase duas dúzias de campanhas direcionadas a empresas de frete norte-americanas em setembro e outubro de 2025, com volumes que variam de menos de 10 a mais de 1000 mensagens por campanha.

Os pesquisadores também avaliaram “com alta confiança” que esse grupo de ameaças colabora com grupos do crime organizado, que provavelmente usam seu acesso para licitar remessas de carga e depois roubá-las e vendê-las.

No relatório, a Proofpoint também observou que, embora as últimas campanhas observadas tenham como alvo empresas norte-americanas, os roubos de carga habilitados para o ciberespaço estão aumentando em todo o mundo, inclusive em pontos críticos de frete como Brasil, Chile, Alemanha, Índia, México, África do Sul e EUA.

De acordo com o National Insurance Crime Bureau, o roubo de carga leva a US$ 34 bilhões em perdas anualmente. As técnicas de intrusão cibernética contribuem significativamente para essas perdas, disse um relatório de julho de 2025 pela IMC Logistics e The American Trucking Associations.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.