Estudos realizados pela Proofpoint indicam um aumento alarmante e contínuo de ataques cibernéticos na América Latina, com o Brasil emergindo como o principal alvo.
Pesquisadores da Proofpoint registraram um aumento notável e contínuo nas atividades cibercriminosas na América Latina nos últimos meses, destacando o Brasil como o foco das investidas.
As campanhas são lideradas por um grupo que também atua na Espanha e em Portugal, demonstrando um profundo entendimento do contexto brasileiro. Este ator combina um grande volume de ataques com frequentes testes de novas técnicas de invasão.
Nossos vídeos em destaque
Entre dezembro e fevereiro, o grupo lançou diversas campanhas utilizando iscas em português e espanhol. As mensagens disfarçam-se como provenientes de bancos, órgãos governamentais e serviços de compartilhamento de arquivos, explorando a engenharia social, o senso de urgência e a familiaridade para induzir as vítimas a clicarem em links ou abrirem anexos maliciosos.
Grupo cibercriminoso responsável pelos ataques
Identificado pela Proofpoint como TA2725, o grupo tem como principal objetivo obter lucros financeiros através de malware bancário e roubo de credenciais.
Drone de R$ 1 bilhão dos EUA desaparece perto do Irã após alerta de emergência
Atualmente, esse ator é o responsável pelo maior volume de atividade monitorada pela empresa em todo o mundo. A principal ferramenta utilizada nas campanhas recentes é o malware Astaroth, que é capaz de capturar senhas, teclas digitadas e outros dados sensíveis.
Além disso, o TA2725 distribui intermitentemente as ameaças Metamorfo e Mispado, ambas focadas no roubo de informações e fraudes bancárias. O TA2725 se encaixa na categoria de cibercrime financeiro segundo a classificação interna da Proofpoint.
Embora ainda utilize predominantemente a entrega tradicional de malware, o grupo está testando ferramentas legítimas de gerenciamento remoto, como ScreenConnect e LogMeIn Resolve. Estas soluções permitem um acesso remoto persistente às máquinas infectadas, dificultando a detecção e tornando as operações dos criminosos mais discretas.
Os pesquisadores também notaram o retorno inesperado do trojan bancário Grandoreiro, que havia sido quase totalmente desativado após ações policiais no início de 2024. O malware reapareceu em algumas campanhas, indicando uma possível tentativa de retomar suas atividades, embora ainda em escala limitada.
Extensão falsa do Chrome trava navegador e infecta mais de 5 mil usuários com vírus
A operação do TA2725 revela um grupo maduro e adaptável que tem o Brasil como foco devido ao tamanho de sua economia digital e ao elevado número de usuários de serviços bancários online.
“Grupos cibercriminosos como o TA2725 são extremamente adaptáveis, ajustando suas técnicas para explorar melhor o comportamento humano e marcas de confiança”, afirmou Marcos Nehme, Country Manager da Proofpoint para o Brasil.
“Estamos vendo uma mudança clara em direção a métodos de entrega mais sofisticados e iscas mais convincentes, aumentando assim a probabilidade de sucesso. Essa situação ressalta a necessidade de as organizações priorizarem a conscientização dos usuários, além de adotarem proteções avançadas contra ameaças.”
Simultaneamente, a Proofpoint identificou o uso de grandes eventos globais como parte das estratégias em golpes de criptomoedas. Em uma campanha recente, criminosos enviaram e-mails falsos em nome da carteira MetaMask, prometendo um “ingresso NFT gratuito da Copa do Mundo FIFA 2026”.
Microsoft alerta sobre golpe que ataca logins sem senha
Aqueles que clicavam eram redirecionados para um site falso que roubava a frase de recuperação da carteira, concedendo aos atacantes controle total sobre os ativos digitais das vítimas.
Essas abordagens demonstram como os criminosos combinam foco regional com engenharia social baseada em eventos atuais para maximizar seus resultados. A recomendação da Proofpoint é clara: tanto organizações quanto usuários devem sempre verificar a autenticidade de mensagens inesperadas e jamais compartilhar credenciais ou frases de recuperação.