Aumento de ataques cibercriminosos no Brasil e na América Latina

Proofpoint identifica aumento de ataques cibercriminosos no Brasil e na América Latina

Com indícios de origem brasileira, grupo focado no país é hoje o mais ativo em volume de ataques monitorados no mundo

Pesquisadores da Proofpoint identificaram uma atividade cibercriminosa sustentada e em evolução na América Latina nos últimos meses, com o Brasil emergindo consistentemente como o principal alvo. As campanhas, conduzidas por um grupo ativo na região, além de Espanha e Portugal, com indícios de forte familiaridade com o contexto brasileiro, combinam alto volume de ataques com experimentação crescente em novas técnicas de invasão.

Entre dezembro e fevereiro, foram observadas dezenas de campanhas utilizando iscas em português e espanhol, frequentemente se passando por instituições confiáveis, como bancos, órgãos governamentais e serviços de compartilhamento de documentos. Essas mensagens, baseadas em engenharia social, exploram familiaridade e senso de urgência para aumentar a probabilidade de interação com links ou anexos maliciosos.

Identificado pela Proofpoint como TA2725, o grupo criminoso tem como principal objetivo o ganho financeiro, alcançado por meio da disseminação de malware bancário e roubo de credenciais. Trata-se, atualmente, do ator de ameaça com maior volume de atividade monitorado pela Proofpoint globalmente, o que reforça a escala e a recorrência de suas campanhas. A família de malware mais comumente observada nas campanhas recentes é o Astaroth, um conhecido ladrão de informações capaz de capturar credenciais de login, pressionamentos de teclado e outros dados sensíveis. Além disso, o grupo tem distribuído, de forma intermitente, outras ameaças, incluindo Metamorfo e Mispado, ambos também focados em roubo de credenciais e fraude financeira.

A nomenclatura TA2725 segue a classificação interna da Proofpoint para grupos cibercriminosos (“TA”, de Threat Actor), sendo a faixa numérica associada ao tipo de atividade conduzida. No caso, trata-se de um ator inserido na categoria de cibercrime financeiro, que utiliza malwares amplamente disponíveis, como trojans bancários, para roubo de dados e recursos financeiros.

Vale destacar que o TA2725 tem demonstrado sinais de evolução em suas táticas. Embora a entrega tradicional de malware ainda predomine, o ator tem experimentado ferramentas de monitoramento e gerenciamento remoto (RMM), como ScreenConnect e LogMeIn Resolve. Essas ferramentas administrativas legítimas podem ser exploradas para obter acesso remoto persistente a máquinas infectadas, dificultando a detecção e permitindo que os atacantes operem de forma mais discreta em ambientes comprometidos.

Outro ponto de atenção é o reaparecimento pontual do trojan bancário Grandoreiro, historicamente relevante na América Latina. Após ter sua atividade reduzida significativamente por conta de ações de autoridades no início de 2024, o Grandoreiro ressurgiu em um número reduzido de campanhas, sugerindo a possibilidade de uma reintrodução gradual, embora ainda não tenha retornado aos níveis anteriores de atividade.

De forma geral, a atividade do TA2725 evidencia uma operação cibercriminosa madura e adaptável, que continua priorizando o Brasil devido à sua grande economia digital e ao alto volume de usuários de serviços bancários online.

“Grupos cibercriminosos como o TA2725 são altamente adaptáveis, refinando continuamente suas técnicas para explorar melhor o comportamento humano e marcas confiáveis”, afirmou Marcos Nehme, Country Manager para o Brasil na Proofpoint. “Estamos observando uma mudança clara em direção a métodos de entrega mais sofisticados e iscas mais oportunas, o que aumenta a probabilidade de sucesso. Isso reforça a necessidade de as organizações priorizarem a conscientização dos usuários juntamente com proteção avançada contra ameaças.”

Separadamente, a Proofpoint também observou cibercriminosos explorando grandes eventos globais para aumentar a eficácia de golpes. Em uma campanha recente, atacantes utilizaram iscas relacionadas à Copa do Mundo FIFA 2026 para atingir usuários de criptomoedas. E-mails que se passavam pela carteira MetaMask convidavam os destinatários a reivindicar um “ingresso NFT gratuito da Copa do Mundo”, redirecionando-os para um site fraudulento projetado para roubar sua frase secreta de recuperação. Uma vez obtida, essa informação permite que os atacantes assumam controle total das carteiras de criptomoedas das vítimas.
 

Em conjunto, essas tendências mostram como os atores de ameaça estão combinando segmentação regional com engenharia social baseada em eventos para maximizar seus resultados. Organizações e indivíduos devem permanecer vigilantes, verificar a autenticidade de mensagens inesperadas e evitar compartilhar credenciais sensíveis ou frases de recuperação sob qualquer circunstância.

Clique e fale com representante oficial Cibercoah

Veja também:

• Ciberataques silenciosos e impulsionados por IA já custam US$ 10,5 tri ao ano
• Cibercriminosos usam códigos QR para aplicar golpes em usuários
• FEI abre inscrições para vestibular do 2º semestre de 2026
• Maturidade, custo e segurança: O novo horizonte da computação em nuvem
• Por que o RH se tornou peça importante na estratégia de cibersegurança?
• IA expõe dados regulados em 59% das violações no setor financeiro
• Vulnerabiliade no CUPS Linux permite obter acesso root
• Fancy Bear continua atacando roteadores para impulsionar sites falsos
• Atacantes exploraram vulnerabilidade crítica zero-day do FortiClient EMS 
• Phishing com código de dispositivo habilitado por IA explora o fluxo OAuth
• Rússia invadiu roteadores para roubar tokens do Microsoft Office.
• Cibersegurança na Era do Software Instantâneo