Criminosos cibernéticos estão cada vez mais direcionando seus ataques a empresas de transporte rodoviário e logística, com o objetivo de infectá-las por meio de softwares de Remote Monitoring and Management (RMM) para obter ganhos financeiros e, em última instância, roubar cargas físicas.
De acordo com a Proofpoint, esse grupo de ameaça, ativo desde pelo menos junho de 2025, atua em parceria com organizações criminosas para invadir companhias do setor de transporte terrestre, visando o furto de mercadorias.
Os produtos mais visados nesses ataques cibernéticos são alimentos e bebidas.
“O carregamento roubado provavelmente é vendido online ou enviado para o exterior”, explicam os pesquisadores Ole Villadsen e Selena Larson em relatório divulgado ao The Hacker News.
“Nas campanhas monitoradas, os invasores buscam infiltrar-se nas empresas e utilizar o acesso fraudulento para participar de licitações verdadeiras de cargas, com o intuito de roubá-las posteriormente.”
Essas campanhas apresentam semelhanças com um conjunto anterior de ataques revelado em setembro de 2024, que também mirava empresas de transporte e logística na América do Norte, utilizando stealers de informações e trojans de acesso remoto (RATs) como Lumma Stealer, StealC e NetSupport RAT.
No entanto, não há evidências de que se trate do mesmo grupo de atacantes.
Na nova onda de invasões detectada pela Proofpoint, os criminosos aplicaram diversas táticas.
Entre elas estão o uso de contas de e-mail comprometidas para interceptar conversas existentes, o envio de spear-phishing direcionado a transportadoras asset-based, firmas de corretagem de frete e fornecedores integrados da cadeia de suprimentos, além da publicação de anúncios fraudulentos em plataformas de load boards com contas invadidas.
“O invasor publica anúncios falsos de frete usando contas comprometidas em load boards e, em seguida, envia e-mails com URLs maliciosas para transportadoras que demonstram interesse nas cargas”, explicou a Proofpoint.
“Essa abordagem explora a confiança e a urgência típicas nas negociações de frete.”
As URLs maliciosas embutidas nessas mensagens direcionam para instaladores MSI ou executáveis armadilha, que baixam e instalam ferramentas legítimas de RMM, como ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able e LogMeIn Resolve.
Em alguns casos, esses softwares são usados em conjunto, com o PDQ Connect empregado para instalar outras ferramentas, como ScreenConnect e SimpleHelp.
Com o acesso remoto garantido, os invasores realizam reconhecimento dos sistemas e da rede para, então, instalar ferramentas de captura de credenciais, como o WebBrowserPassView.
O objetivo é obter mais credenciais e aprofundar a infiltração na infraestrutura corporativa.
Em pelo menos um incidente, acredita-se que os criminosos tenham utilizado o acesso para deletar reservas existentes e bloquear notificações do despachante.
Além disso, adicionaram seu próprio dispositivo à extensão telefônica do despachante, reservaram cargas em nome da transportadora comprometida e coordenaram o transporte do material roubado.
O uso de software RMM traz vantagens estratégicas para os criminosos.
Primeiro, elimina a necessidade de criar malware sob medida.
Segundo, permite que eles operem de forma discreta, já que essas ferramentas são comuns em ambientes corporativos e dificilmente são identificadas como ameaças pelas soluções de segurança.
“É relativamente simples para os atacantes criarem e distribuírem suas próprias ferramentas de monitoramento remoto.
Como esses softwares frequentemente são legítimos, os usuários finais tendem a desconfiar menos da instalação de RMMs em comparação com outros trojans de acesso remoto”, afirmou a Proofpoint em março de 2025.
“Além disso, esses instaladores costumam ser assinados digitalmente, o que ajuda a evitar a detecção por antivírus e monitoramento de rede, mesmo quando distribuídos de forma maliciosa.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...