Pesquisadores de segurança passaram recentemente um mês observando as atividades de cibercriminosos que visam o setor de transporte e logística, descobrindo uma tendência preocupante de roubo de carga e exploração financeira habilitados por meios cibernéticos. ### Dentro da Operação: Uma Investigação de Um Mês A pesquisa da equipe da **Proofpoint**, um acompanhamento de suas descobertas anteriores, visou entender o playbook pós-comprometimento desses atores de ameaça. Seu trabalho destaca a crescente ameaça de roubo de carga habilitado por meios cibernéticos, que está intimamente ligada ao crime organizado. De acordo com a **Geotab**, as perdas com roubo de carga na América do Norte atingiram US$ 6,6 bilhões em 2025, em grande parte impulsionadas por ataques digitais. "É um problema enorme, além de um único ator ou um único país", disse **Ole Villadsen**, um dos pesquisadores da **Proofpoint**. ### Ambiente de Isca Expõe Táticas Criminosas Usando um ambiente controlado, a equipe baixou intencionalmente um payload malicioso enviado por e-mail para transportadoras. Isso ocorreu após os cibercriminosos terem comprometido uma plataforma de load board, um marketplace que conecta corretores de frete e embarcadores. Ao obter acesso, os atacantes instalaram seis ferramentas de acesso remoto, incluindo múltiplas instâncias do **ScreenConnect**, provavelmente como medida de redundância. ### Nova Técnica 'Signing-as-a-Service' A descoberta mais surpreendente foi o uso de um script que consultava automaticamente um serviço externo de assinatura de certificados. Isso permitiu que todos os componentes instalados fossem assinados com um certificado confiável, contornando efetivamente as medidas de segurança do Windows. "Esta foi uma nova capacidade que tivemos a sorte de encontrar", disse **Villadsen**. Ele acredita que essa ferramenta de 'signing-as-a-service' é uma adaptação às recentes medidas de segurança implementadas pelo **ScreenConnect**, que exigiam que novas instâncias assinassem um instalador. "Então, em vez de todos tentarem criar seu próprio certificado, podemos ter esse tipo de processo secreto de signing-as-a-service", explicou ele. "Não apenas o MSI [**Microsoft** Installer] foi assinado, mas ele também sairia e substituiria todos os arquivos de componentes e os assinaria novamente. Tudo foi bem pensado." ### Além do Roubo de Carga: Alvo Financeiro Os pesquisadores observaram que os hackers não estavam focados apenas no roubo de carga, mas também se envolviam em alvos financeiros mais amplos. Eles procuraram ativamente por carteiras de criptomoedas e credenciais do **PayPal**. Um script **PowerShell** procurou por pontos de acesso a instituições financeiras, serviços de transferência de dinheiro, plataformas de contabilidade online, plataformas de gerenciamento de carga, plataformas de corretagem de frete e provedores de cartões de combustível. "Eles conhecem a indústria de transporte muito, muito bem, com certeza, e sabem como atingir esse espaço em particular", observou **Villadsen**. "Mas eles também são cibercriminosos, e estão procurando qualquer maneira de monetizar uma estação de trabalho em que pousaram." ### Uma Ameaça Generalizada Embora este grupo em particular seja muito ativo na infiltração de load boards, eles são apenas um dos muitos explorando vulnerabilidades na indústria de transporte. **Villadsen** e sua equipe estão rastreando aproximadamente uma dúzia de grupos diferentes visando o setor na América do Norte e Europa. A vulnerabilidade da indústria decorre do fato de que a grande maioria das transportadoras são pequenas empresas com recursos limitados de cibersegurança. Ao visá-las através de load boards, os hackers podem comprometer inúmeras transportadoras simultaneamente. "É uma indústria que, infelizmente, se apresenta bem para intrusões cibernéticas e para a capacidade de escalar ou aumentar o roubo muito bem", concluiu **Villadsen**. <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>