Hackers exploram softwares de monitoramento remoto para roubar cargas de empresas de transporte e logística

Hackers estão direcionando seus ataques a empresas de transporte e logística com o objetivo de infectar seus sistemas por meio de softwares de monitoramento e gerenciamento remoto (RMM), buscando ganhos financeiros e, em última instância, o roubo de cargas.

De acordo com pesquisadores da Proofpoint, o grupo criminoso — ativo desde pelo menos junho de 2025 — atua em parceria com organizações do crime organizado para invadir companhias do setor de transporte terrestre e desviar mercadorias físicas. Os produtos mais visados nas operações são alimentos e bebidas, devido à alta demanda e fácil revenda.

“Os itens roubados provavelmente são vendidos online ou enviados para o exterior”, explicaram os pesquisadores Ole Villadsen e Selena Larson em relatório. Segundo eles, os hackers se infiltram nas empresas e usam acessos fraudulentos para participar de licitações reais de transporte de cargas, com o objetivo de roubá-las.

Essas campanhas apresentam semelhanças com ataques anteriores revelados em setembro de 2024, nos quais grupos hackers miraram empresas de transporte na América do Norte usando infostealers e trojans de acesso remoto (RATs), como Lumma Stealer, StealC e NetSupport RAT. No entanto, não há evidências de que os ataques atuais tenham sido conduzidos pelos mesmos invasores.

Na nova onda de ataques, os hackers utilizam múltiplos métodos, como o sequestro de conversas legítimas de e-mail, o envio de mensagens de spear-phishing para transportadoras e corretores de frete, e a publicação de anúncios falsos em plataformas de carga usando contas comprometidas. “O invasor publica listagens falsas de frete e envia e-mails com links maliciosos para transportadoras interessadas, explorando a confiança e a urgência típicas dessas negociações”, afirma a Proofpoint.

Os links maliciosos levam a instaladores armadilhados que implementam ferramentas legítimas de RMM, como ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able e LogMeIn Resolve. Em alguns casos, várias dessas soluções são usadas em conjunto — por exemplo, o PDQ Connect instala automaticamente o ScreenConnect e o SimpleHelp.

Após obter acesso remoto, os hackers realizam reconhecimento da rede e instalam ferramentas para roubo de credenciais, como o WebBrowserPassView, permitindo acesso a dados adicionais e movimentação lateral dentro da empresa. Em um dos incidentes documentados, os criminosos chegaram a excluir reservas de transporte, bloquear notificações de despachantes e até cadastrar seus próprios dispositivos nos sistemas internos para assumir o controle das operações e coordenar o transporte das cargas roubadas.

Desde agosto de 2025, pelo menos duas dezenas de campanhas semelhantes foram detectadas, atingindo desde pequenas empresas familiares até grandes transportadoras. Essas ações são consideradas oportunistas e têm como alvo organizações de todos os tamanhos, explorando dados internos obtidos em outros vazamentos para identificar cargas lucrativas.

O uso de softwares de monitoramento remoto oferece vantagens significativas aos hackers. Além de dispensar a criação de malware personalizado, essas ferramentas são comuns em ambientes corporativos e, por serem legítimas, dificilmente são detectadas por soluções de segurança. “É relativamente fácil para os hackers distribuírem versões maliciosas desses programas, e como eles são amplamente usados de forma legítima, as vítimas tendem a desconfiar menos de sua instalação”, observou a Proofpoint em março de 2025.

Via - THN