Ciberataques – Pesquisadores da Proofpoint identificaram uma elevação expressiva e constante nos ataques cibercriminosos na América Latina nos últimos meses, com o Brasil ocupando a posição de principal alvo.
As ofensivas são conduzidas por um grupo que também atua na Espanha e em Portugal e demonstra profundo conhecimento do cenário brasileiro. Esse ator combina grande volume de investidas com testes frequentes de novas estratégias de invasão.
Entre dezembro e fevereiro, foram registradas dezenas de campanhas com iscas em português e espanhol. As mensagens simulam comunicações de bancos, órgãos públicos e plataformas de compartilhamento de arquivos, explorando engenharia social, senso de urgência e familiaridade para induzir as vítimas a clicar em links ou abrir anexos maliciosos.
Grupo cibercriminoso responsável por ataques
O grupo é classificado pela Proofpoint como TA2725 e tem como principal objetivo o ganho financeiro, utilizando malware bancário e técnicas de roubo de credenciais.
Atualmente, trata-se do agente de ameaça com maior volume de atividade monitorado pela empresa em nível global. Nas campanhas mais recentes, a principal ferramenta utilizada é o malware Astaroth, capaz de capturar senhas, registrar teclas digitadas e coletar outros dados sensíveis.
De forma ocasional, o TA2725 também distribui os malwares Metamorfo e Mispado, ambos voltados ao roubo de informações e à prática de fraudes bancárias. O grupo integra a categoria de cibercrime financeiro dentro da classificação interna da Proofpoint.
Embora ainda utilize majoritariamente métodos tradicionais de disseminação de malware, o grupo vem experimentando ferramentas legítimas de gerenciamento remoto (RMM), como ScreenConnect e LogMeIn Resolve. Essas soluções permitem acesso contínuo às máquinas comprometidas, dificultando a detecção e tornando a atuação mais discreta.
Os pesquisadores também observaram o reaparecimento pontual do trojan bancário Grandoreiro, que havia sido praticamente desarticulado após operações policiais no início de 2024. O retorno ocorreu em poucas campanhas, sugerindo uma possível retomada gradual, ainda em escala limitada.
A atuação do TA2725 indica um grupo experiente e adaptável, que prioriza o Brasil devido ao tamanho do mercado digital e ao grande número de usuários de serviços bancários online.
“Grupos cibercriminosos como o TA2725 são altamente adaptáveis, refinando continuamente suas técnicas para explorar melhor o comportamento humano e marcas confiáveis”, afirmou Marcos Nehme, Country Manager da Proofpoint para o Brasil.
“Estamos observando uma mudança clara em direção a métodos de entrega mais sofisticados e iscas mais oportunas, o que aumenta a probabilidade de sucesso. Isso reforça a necessidade de as organizações priorizarem a conscientização dos usuários juntamente com proteção avançada contra ameaças.”
Golpes exploram eventos e criptomoedas
Paralelamente, a Proofpoint identificou o uso de grandes eventos globais como gancho para fraudes envolvendo criptomoedas. Em uma campanha recente, criminosos dispararam e-mails falsos em nome da carteira MetaMask oferecendo um “ingresso NFT gratuito da Copa do Mundo FIFA 2026”.
Ao clicar, a vítima era direcionada a um site fraudulento que capturava a frase de recuperação da carteira digital, permitindo aos atacantes assumir controle total dos ativos.
Essas ações evidenciam como os criminosos combinam foco regional com engenharia social baseada em acontecimentos atuais para ampliar a eficácia dos golpes.
A recomendação da Proofpoint é clara: tanto empresas quanto usuários devem sempre verificar a autenticidade de mensagens inesperadas e jamais compartilhar credenciais ou frases de recuperação.
(Com informações de TecMundo)
(Foto: Reprodução/Freepik/Who is Danny)
