🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo de ameaças com motivação financeira apelidado de “Diesel Vortex” está roubando credenciais de operadores de frete e logística nos EUA e na Europa em ataques de phishing usando 52 domínios.
Em uma campanha que está em andamento desde setembro de 2025, o agente da ameaça roubou 1.649 credenciais exclusivas de plataformas e provedores de serviços essenciais no setor de frete.
Algumas das vítimas do Diesel Vortex incluem DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka e Electronic Funds Source (EFS).
Pesquisadores da plataforma de monitoramento de typosquatting Have I Been Squatted descobriram a campanha depois de encontrar um repositório exposto contendo um banco de dados SQL de um projeto de phishing que o ator da ameaça chamou de Global Profit e o comercializou para outros cibercriminosos sob o nome de MC Profit Always.
O repositório também incluía um arquivo com logs de webhook do Telegram que revelava comunicações entre os operadores de serviços de phishing. Com base na linguagem utilizada, os pesquisadores acreditam que a Diesel Vortex é um ator de língua armênia conectado à infraestrutura russa.
Os esforços de análise da Have I Been Squatted foram acompanhados pelo provedor de infraestrutura de tokenização Ctrl-Alt-Intel, que conectou os pontos entre operadoras, infraestrutura e conexões com várias empresas usando inteligência de código aberto.
Em um extenso relatório técnico, o provedor de proteção typosquatting afirma que descobriu quase 3.500 pares de credenciais roubadas, sendo 1.649 deles únicos.
Volume de roubo de credenciais do Diesel VortexFonte: Have I Been Squatted
Os pesquisadores dizem que também encontraram um link para um mapa mental criado por um membro do grupo, que descreve uma “operação altamente organizada” completa com call center, suporte por correio, funções de programador e equipe responsável por encontrar motoristas, transportadores e contatos logísticos.
Além disso, o mapa forneceu detalhes sobre canais de aquisição que incluíam o mercado DAT One, campanhas por e-mail, fraude de confirmação de taxas e receitas para vários níveis operacionais.
"O grupo [Diesel Vortex] construiu infraestrutura de phishing dedicada para plataformas usadas diariamente por corretores de carga, empresas de transporte rodoviário e operadores da cadeia de suprimentos. Placas de carga, portais de gerenciamento de frota, sistemas de cartão de combustível e bolsas de carga estavam todos no escopo", dizem os pesquisadores do Have I Been Squatted.
“Essas plataformas ficam na intersecção de altos volumes de transações e a força de trabalho alvo normalmente não é o foco principal dos programas de segurança empresarial, e as operadoras claramente sabiam disso.”
Os ataques envolvem o envio de e-mails de phishing aos alvos por meio de um mailer de kit de phishing, usando Zoho SMTP e Zeptomail, e combinando truques de homoglifo cirílico nos campos de remetente e assunto para evitar filtros de segurança.
Phishing de voz e infiltração em canais do Telegram frequentados por pessoal de transporte e logística também foram usados nos ataques.
Quando uma vítima clica em um link de phishing, ela acessa uma página HTML mínima em um domínio ‘.com’ com um iframe de tela inteira que carrega o conteúdo de phishing, seguido por um processo de camuflagem de nove estágios no domínio do sistema (.top/.icu).
As páginas de phishing são clones em nível de pixel das plataformas logísticas visadas. Dependendo do alvo, eles podem capturar credenciais, dados de autorização, números MC/DOT, detalhes de login do RMIS, PINs, códigos de autenticação de dois fatores, tokens de segurança, valores de pagamento, nomes de beneficiários e números de cheques.
Duas páginas de phishing usadas no mesmo ataqueFonte: Have I Been Squatted
O processo de phishing fica sob controle direto da operadora, que decide quando aprovar as etapas e ativar as próximas fases por meio dos bots do Telegram.
As ações possíveis incluem solicitar uma senha para Google, Microsoft Office 365 e Yahoo, métodos 2FA, redirecionar a vítima ou até mesmo bloqueá-la no meio da sessão.
Visão geral do ataqueFonte: Eu fui agachado
Os pesquisadores afirmam que a operação do Diesel Vortex, incluindo domínios de painel e phishing e repositórios GitLab, foi interrompida após uma ação coordenada envolvendo GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike e Microsoft Threat Intelligence Center.
Por sua vez, a Ctrl-Alt-Intel conduziu uma investigação OSINT a partir de bate-papos dos operadores no Telegram em armênio sobre roubo de carga ou fundos e um endereço de e-mail.
Junto com um nome de domínio encontrado no código-fonte do painel de phishing, os pesquisadores revelaram conexões com indivíduos e empresas na Rússia envolvidos no comércio atacadista, transporte e armazenamento.
Os pesquisadores observaram que “o mesmo e-mail identificado usado para registrar infraestrutura de phishing aparece em registros corporativos [russos] de empresas de logística que operam na mesma indústria visada pela Diesel Vortex”.
Com base nas evidências descobertas, os pesquisadores determinaram que a Diesel Vortex roubou credenciais e também coordenou atividades
Em uma campanha que está em andamento desde setembro de 2025, o agente da ameaça roubou 1.649 credenciais exclusivas de plataformas e provedores de serviços essenciais no setor de frete.
Algumas das vítimas do Diesel Vortex incluem DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka e Electronic Funds Source (EFS).
Pesquisadores da plataforma de monitoramento de typosquatting Have I Been Squatted descobriram a campanha depois de encontrar um repositório exposto contendo um banco de dados SQL de um projeto de phishing que o ator da ameaça chamou de Global Profit e o comercializou para outros cibercriminosos sob o nome de MC Profit Always.
O repositório também incluía um arquivo com logs de webhook do Telegram que revelava comunicações entre os operadores de serviços de phishing. Com base na linguagem utilizada, os pesquisadores acreditam que a Diesel Vortex é um ator de língua armênia conectado à infraestrutura russa.
Os esforços de análise da Have I Been Squatted foram acompanhados pelo provedor de infraestrutura de tokenização Ctrl-Alt-Intel, que conectou os pontos entre operadoras, infraestrutura e conexões com várias empresas usando inteligência de código aberto.
Em um extenso relatório técnico, o provedor de proteção typosquatting afirma que descobriu quase 3.500 pares de credenciais roubadas, sendo 1.649 deles únicos.
Volume de roubo de credenciais do Diesel VortexFonte: Have I Been Squatted
Os pesquisadores dizem que também encontraram um link para um mapa mental criado por um membro do grupo, que descreve uma “operação altamente organizada” completa com call center, suporte por correio, funções de programador e equipe responsável por encontrar motoristas, transportadores e contatos logísticos.
Além disso, o mapa forneceu detalhes sobre canais de aquisição que incluíam o mercado DAT One, campanhas por e-mail, fraude de confirmação de taxas e receitas para vários níveis operacionais.
"O grupo [Diesel Vortex] construiu infraestrutura de phishing dedicada para plataformas usadas diariamente por corretores de carga, empresas de transporte rodoviário e operadores da cadeia de suprimentos. Placas de carga, portais de gerenciamento de frota, sistemas de cartão de combustível e bolsas de carga estavam todos no escopo", dizem os pesquisadores do Have I Been Squatted.
“Essas plataformas ficam na intersecção de altos volumes de transações e a força de trabalho alvo normalmente não é o foco principal dos programas de segurança empresarial, e as operadoras claramente sabiam disso.”
Os ataques envolvem o envio de e-mails de phishing aos alvos por meio de um mailer de kit de phishing, usando Zoho SMTP e Zeptomail, e combinando truques de homoglifo cirílico nos campos de remetente e assunto para evitar filtros de segurança.
Phishing de voz e infiltração em canais do Telegram frequentados por pessoal de transporte e logística também foram usados nos ataques.
Quando uma vítima clica em um link de phishing, ela acessa uma página HTML mínima em um domínio ‘.com’ com um iframe de tela inteira que carrega o conteúdo de phishing, seguido por um processo de camuflagem de nove estágios no domínio do sistema (.top/.icu).
As páginas de phishing são clones em nível de pixel das plataformas logísticas visadas. Dependendo do alvo, eles podem capturar credenciais, dados de autorização, números MC/DOT, detalhes de login do RMIS, PINs, códigos de autenticação de dois fatores, tokens de segurança, valores de pagamento, nomes de beneficiários e números de cheques.
Duas páginas de phishing usadas no mesmo ataqueFonte: Have I Been Squatted
O processo de phishing fica sob controle direto da operadora, que decide quando aprovar as etapas e ativar as próximas fases por meio dos bots do Telegram.
As ações possíveis incluem solicitar uma senha para Google, Microsoft Office 365 e Yahoo, métodos 2FA, redirecionar a vítima ou até mesmo bloqueá-la no meio da sessão.
Visão geral do ataqueFonte: Eu fui agachado
Os pesquisadores afirmam que a operação do Diesel Vortex, incluindo domínios de painel e phishing e repositórios GitLab, foi interrompida após uma ação coordenada envolvendo GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike e Microsoft Threat Intelligence Center.
Por sua vez, a Ctrl-Alt-Intel conduziu uma investigação OSINT a partir de bate-papos dos operadores no Telegram em armênio sobre roubo de carga ou fundos e um endereço de e-mail.
Junto com um nome de domínio encontrado no código-fonte do painel de phishing, os pesquisadores revelaram conexões com indivíduos e empresas na Rússia envolvidos no comércio atacadista, transporte e armazenamento.
Os pesquisadores observaram que “o mesmo e-mail identificado usado para registrar infraestrutura de phishing aparece em registros corporativos [russos] de empresas de logística que operam na mesma indústria visada pela Diesel Vortex”.
Com base nas evidências descobertas, os pesquisadores determinaram que a Diesel Vortex roubou credenciais e também coordenou atividades
#samirnews #samir #news #boletimtec #campanha #de #phishing #tem #como #alvo #organizações #de #frete #e #logística #nos #eua #e #europa
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário