Um grupo criminoso norteado a obter benefícios econômicos, identificado pelos pesquisadores como Diesel Vortex, criou uma campanha sofisticada de phishing dirigida a operadores de transporte e logística nos Estados Unidos e na Europa. Segundo a análise publicada pela plataforma de monitoramento de typosquatting Have I Been Squatted, a operação arrancou em setembro de 2025 e empregou pelo menos 52 domínios para sua infraestrutura fraudulenta, com um total de quase 3.500 pares de credenciais capturadas e 1.649 credenciais únicas comprometidas.
Os brancos não foram empresas tecnológicas conhecidas pela sua segurança, mas sim plataformas e serviços que o setor de transporte utiliza diariamente: trocas de carga, fóruns de frotas, sistemas de cartões de combustível e portais de gestão de transporte. Entre as vítimas identificadas aparecem nomes do setor como DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka e Electronic Funds Source (EFS). Estas plataformas estão na intersecção entre alto volume de transações e um coletivo de usuários — condutores, agentes e capoeira — que, frequentemente, não figura no foco principal dos programas tradicionais de segurança empresarial.
A pesquisa começou quando os especialistas de Have I Been Squatted tropeçaram com um repositório exposto que continha uma base de dados SQL pertencente a um projeto de phishing batizado por seus autores como "Global Profit" e comercializado entre criminosos como "MC Profit Always". Nesse repositório também havia registros do sitehooks do Telegram que deixaram a vista comunicações internas do serviço, o que permitiu aos analistas reconstruir partes importantes da operação.
Os detalhes técnicos que descrevem os pesquisadores mostram uma cadeia de engano cuidadosamente projetada. Os e-mails maliciosos foram enviados de um mailer integrado no kit de phishing usando serviços de SMTP legítimos como Zoho e Zeptomail, e recorreriam a truques de homógrafos em cirílico dentro do remetente e o assunto para sortear filtros. Ao clicar no link, a vítima era dirigida a uma página HTML mínima em um domínio “.com” que carregava em tela completa um iframe com o conteúdo verdadeiro do phishing, e em seguida se aplicava um processo de cloaking em até nove etapas sobre domínios do sistema (.top/.icu) para esconder a origem real.
As páginas fraudulentas não eram descuidos estéticos: eram réplicas a nível de píxel das plataformas atacadas. Dependendo do objetivo, essas páginas podiam capturar não só usuário e senha, mas também dados sensíveis de permissões, números MC/DOT, credenciais RMIS, PINs, códigos de autenticação de dois fatores, tokens de segurança, montantes e beneficiários de pagamentos, ou números de cheques. Em resumo, acesso e materiais suficientes para sequestrar operações logísticas ou desviar remessas.
A operatória do grupo aparenta estar altamente organizada. Os pesquisadores encontraram um mapa mental ligado desde o projeto em que se detalhava uma estrutura com call center, suporte por correio, programadores e pessoal dedicado a localizar motoristas, transportadores e contatos de logística. Esse esquema descreveu canais de aquisição como mercados de cargas, campanhas por correio, e táticas de fraude em confirmação de tarifas, além de um modelo de renda por níveis. A evidência aponta que as credenciais capturadas não só se vendiam, mas eram usadas para operações posteriores: suplantação de fletes, comprometimento de buzones e esquemas de dupla corretagem ou desvio de cargas.
A dupla corretagem consiste em usar identidades de transportadores roubadas para contratar serviços de transporte e, uma vez que a carga está em trânsito, redireccioná-la a pontos de recolha fraudulentos onde desaparece. O impacto real não é apenas digital: falamos de mercadorias roubadas, pagamentos que nunca chegam a quem corresponde e uma cadeia de frustrações e perdas para proprietários de carga e transportadores.
Outra faceta preocupante da campanha foi o uso de canais de voz para enganar pessoas (vishing) e a infiltração em canais do Telegram populares entre profissionais de transporte, o que facilitava tanto o recrutamento de vítimas como a coordenação operacional. Os operadores do phishing controlavam o fluxo de ataque em tempo real através de bots do Telegram que permitiam aprovar fases, solicitar senhas adicionais ou até bloquear a vítima a meio de sessão, de acordo com o engano.
A pesquisa, além da peça central de Have I Been Squatted, contou com a colaboração da assinatura de tokenização e OSINT Ctrl- Alt- Intel, que traçou conexões entre operadores, infraestrutura e entidades comerciais usando inteligência de fontes abertas. Parte do nexo incluía o surgimento de um mesmo e-mail em registros corporativos russos vinculados a empresas dedicadas ao comércio por grosso, transporte e armazenamento, o que sugere vínculos entre a infraestrutura de phishing e atores na economia real relacionados ao mesmo setor objetivo.
A resposta coordenada ao descobrir a operação permitiu intervir e desmontar boa parte da infraestrutura: painéis, domínios e repositórios hospedados em plataformas como GitLab foram neutralizados após a colaboração entre GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike e Microsoft Threat Intelligence Center. Ainda assim, a natureza distribuída da fraude e o uso de domínios temporários e serviços legítimos para envio de correios deixam claro que o risco não desaparece com uma única ação de contenção.
Para empresas e profissionais de transporte a lição é dupla: por um lado, a principal vulnerabilidade é humana e está em processos e usuários que manejam a operacional diária; por outro, a sofisticação técnica dos ataques exige medidas técnicas robustas. Em termos práticos, é conveniente reforçar os controlos de e-mail com políticas anti-phishing avançadas, exigir métodos de autenticação resistentes (como chaves de hardware ou soluções FIDO) em vez de SMS, segmentar e limitar privilégios de acesso, monitorar acessos invulgares a contas e endpoints, e ter procedimentos claros para verificar mudanças em instruções de pagamento ou pontos de entrega. A Microsoft oferece guias práticas sobre proteção contra phishing e boas práticas de segurança para e-mails corporativos que podem servir como referência: Documentação de proteção anti-phishing da Microsoft.
Se a sua empresa opera no sector dos transportes ou utiliza plataformas de intercâmbio de cargas, recomenda-se a revisão dos indicadores de compromisso (IoC) e dos pormenores técnicos publicados pelos investigadores. Have I Been Squatted inclui em seu relatório a lista de IoC - redes, domínios, Telegram, e-mails e endereços de criptomoeda - que permitem que equipes de segurança realizem buscas, bloquear artefatos conhecidos e ajustar regras em gateways de e-mail e firewalls: relatório e IoC de Have I Been Squatted. A pesquisa de Ctrl-Alt-Intel traz também contexto OSINT sobre as ligações entre operadores e empresas do setor: Análise OSINT de Ctrl-Alt-Intel.
Em suma, Diesel Vortex é um lembrete de que o cibercrime evolui para operações cada vez mais integradas com atividades criminosas fora do mundo digital. Não se trata apenas de roubar uma senha, mas de lançar uma cadeia que pode traduzir-se em mercadorias desaparecidas, fraudes por milhões e perda de confiança num sector crítico para a economia global. A melhor defesa será combinar controles técnicos, formação contínua das pessoas que fazem parte da cadeia logística e cooperação estreita entre fornecedores, plataformas e equipamentos de resposta a incidentes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...