Украсть фуру через Telegram. Как Diesel Vortex разоряли транспортных гигантов

С сентября 2025 года операторы грузоперевозок и логистические компании в США и Европе остаются под прицелом масштабной фишинговой кампании. За атаками стоит финансово мотивированная группировка Diesel Vortex, которая за несколько месяцев сумела собрать тысячи учётных данных и выстроить разветвлённую инфраструктуру для обмана участников рынка.

Кампанию раскрыла команда платформы мониторинга тайпсквоттинга Have I Been Squatted. Она обнаружила открытый репозиторий с SQL базой данных, относящейся к фишинговому проекту под названием Global Profit. Его продвигали в криминальной среде как MC Profit Always. Внутри нашли и логи Telegram-вебхуков, позволившие проследить переписку операторов.

Злоумышленники использовали 52 домена и похитили не менее 1649 уникальных пар логинов и паролей. В общей сложности специалисты обнаружили около 3500 украденных записей. Среди пострадавших — DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka и Electronic Funds Source. Речь идёт о сервисах, которые ежедневно используют брокеры, перевозчики и операторы цепочек поставок.

К расследованию также подключилась компания Ctrl-Alt-Intel, специализирующаяся на анализе токенизированной инфраструктуры. С помощью открытых источников она сопоставила домены, учётные записи и возможные связи с коммерческими структурами. Один и тот же адрес электронной почты, применявшийся для регистрации фишинговых ресурсов, обнаружился в корпоративных документах российских логистических компаний, работающих в том же секторе.

Схема атак включала рассылку писем через Zoho SMTP и Zeptomail. В адресах отправителей и темах использовали кириллические омоглифы, чтобы обходить фильтры. Дополнительно применяли голосовой фишинг и проникали в Telegram-каналы, где общаются водители и диспетчеры. После перехода по ссылке жертва попадала на минималистичную HTML-страницу с iframe, загружающим копию целевой платформы. Далее запускался многоступенчатый механизм сокрытия на доменах в зонах .top и .icu.

Поддельные страницы практически полностью повторяли интерфейсы оригинальных сервисов и собирали не только логины и пароли, но и номера MC и DOT, данные RMIS, PIN-коды, одноразовые коды двухфакторной аутентификации, сведения о платежах и чеках. Процесс контролировался через Telegram-ботов — оператор решал, когда переходить к следующему этапу, запросить дополнительные данные или оборвать сессию.

В ходе анализа были выявлены и признаки более широкой схемы, включающей компрометацию почтовых ящиков, подмену перевозчиков и так называемое двойное брокерство. В последнем случае злоумышленники используют украденные данные перевозчиков для бронирования грузов и перенаправляют их на фиктивные точки приёма — классический пример атаки на цепочки поставок.

Инфраструктуру Diesel Vortex в итоге нейтрализовали в рамках совместных действий GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike и Microsoft Threat Intelligence Center. Полный перечень индикаторов компрометации опубликован в отчёте Have I Been Squatted.