Um grupo de piratas informáticos com motivações financeiras, conhecido como Diesel Vortex, está a roubar credenciais de operadores de transporte e logística nos Estados Unidos e na Europa. A campanha, que se encontra ativa desde setembro de 2025, utiliza 52 domínios diferentes para realizar ataques de phishing.
Até ao momento, os atacantes já conseguiram obter 1.649 credenciais únicas de plataformas e fornecedores de serviços vitais para a indústria de transportes. Entre as vítimas do Diesel Vortex encontram-se entidades como a DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka e a Electronic Funds Source.
Os investigadores da plataforma de monitorização Have I Been Squatted descobriram esta campanha após encontrarem um repositório exposto. Este continha uma base de dados SQL de um projeto de phishing que os próprios piratas chamavam de Global Profit, o qual era comercializado a outros cibercriminosos sob o nome MC Profit Always.
Operação estruturada com ligações à Rússia
O repositório descoberto incluía também um ficheiro com registos de webhooks do Telegram, o que permitiu revelar as comunicações entre os operadores deste serviço fraudulento. Com base no idioma utilizado, os analistas acreditam que o Diesel Vortex é composto por indivíduos que falam arménio, mas que estão diretamente ligados a infraestruturas na Rússia.
A análise da Have I Been Squatted contou com a colaboração da empresa Ctrl-Alt-Intel, que ajudou a interligar os operadores, a infraestrutura e as ligações a várias empresas, recorrendo a informações de fontes abertas. Os investigadores encontraram ainda um mapa mental criado por um membro do grupo, que descreve uma operação altamente organizada. Esta estrutura incluía um centro de atendimento, suporte por e-mail, funções para programadores e até pessoal encarregue de encontrar motoristas e contactos de logística.
O grupo construiu uma infraestrutura dedicada para atacar plataformas utilizadas diariamente por empresas de camionagem e operadores de cadeias de abastecimento. Os piratas sabiam que este público-alvo lida com grandes volumes de transações, mas raramente é o foco principal dos programas de segurança empresarial.
Táticas de evasão e encerramento da rede
Os ataques começam com o envio de e-mails fraudulentos, utilizando serviços como o Zoho SMTP e o Zeptomail. Para contornar os filtros de segurança, o grupo recorre a truques com carateres cirílicos nos campos de remetente e assunto. Além disso, utilizam o phishing por voz e infiltram-se em canais de comunicação frequentados por profissionais do setor.
Quando uma vítima clica no link malicioso, é direcionada para uma página HTML simples que carrega o conteúdo fraudulento, passando por um processo de ocultação de nove fases. Estas páginas são cópias exatas das plataformas logísticas visadas e conseguem capturar credenciais, números de registo, códigos de autenticação de dois fatores e até valores de pagamentos. Todo este processo é controlado pelos operadores, que decidem quando avançar para a fase seguinte através de bots automatizados.
Felizmente, a operação do Diesel Vortex sofreu um forte revés recentemente. A infraestrutura foi desmantelada numa ação coordenada que envolveu o GitLab, a Cloudflare, a Google Threat Intelligence, a CrowdStrike e o Microsoft Threat Intelligence Center.
Apesar desta interrupção, as investigações revelaram que as atividades do grupo iam além do simples roubo de credenciais. Os dados recolhidos apontam para o desvio de cargas e esquemas de dupla intermediação, onde as identidades roubadas das transportadoras eram usadas para reservar mercadorias e redirecioná-las para pontos de recolha fraudulentos, conforme detalhado na investigação da Ctrl-Alt-Intel.
Nenhum comentário
Seja o primeiro!