Pesquisadores da Proofpoint identificaram uma atividade cibercriminosa sustentada e em evolução na América Latina, com o Brasil emergindo consistentemente como o principal alvo das operações.
As campanhas são conduzidas pelo grupo identificado como TA2725, que demonstra familiaridade com o contexto brasileiro e é classificado atualmente pela consultoria como o ator de ameaça com o maior volume de atividade monitorado globalmente.
O grupo atua principalmente com foco em ganho financeiro por meio da disseminação de malwares bancários e roubo de credenciais. Entre as ameaças mais frequentes estão o conhecido Astaroth, capaz de capturar pressionamentos de teclado e dados sensíveis. Além de variantes como Metamorfo e Mispado.
A Proofpoint também notou o ressurgimento pontual do trojan Grandoreiro, que havia tido sua atividade reduzida após ações policiais no início de 2024.
Do malware ao acesso remoto
Embora a entrega tradicional de arquivos maliciosos ainda predomine, o TA2725 tem demonstrado maturidade ao experimentar ferramentas de monitoramento e gerenciamento remoto (RMM), como ScreenConnect e LogMeIn Resolve.
O uso dessas ferramentas administrativas legítimas permite que os invasores obtenham acesso persistente e operem de forma mais discreta nos ambientes comprometidos, dificultando a detecção pelas equipes de segurança.
De acordo com a pesquisa, o grupo utiliza iscas de engenharia social em português e espanhol, simulando comunicações de instituições bancárias, órgãos governamentais e serviços de compartilhamento de documentos para explorar o senso de urgência dos usuários.
Exploração de eventos globais
Além da atuação regional do TA2725, a Proofpoint observou o uso de grandes eventos para potencializar golpes. Em uma campanha recente, cibercriminosos utilizaram a Copa do mundo FIFA 2026 como isca para atingir usuários de criptomoedas.
Os e-mails simulavam uma comunicação da carteira MetaMask, oferecendo “ingressos NFT gratuitos” para redirecionar as vítimas a sites fraudulentos focados no roubo de frases de recuperação e controle total dos ativos digitais.
Leia mais: TIM quer redefinir o papel das teles na era da IA
“Estamos observando uma mudança clara em direção a métodos de entrega mais sofisticados e iscas mais oportunas”, afirma Marcos Nehme, Country Manager da Proofpoint no Brasil.
Para o executivo, a adaptabilidade desses grupos reforça a necessidade de as organizações priorizarem a conscientização dos usuários aliada a camadas de proteção avançada.
O cenário reforça que a economia digital brasileira, pelo seu volume de usuários de internet banking, continua no topo das prioridades do crime organizado, exigindo vigilância constante sobre a autenticidade de mensagens e a circulação de credenciais sensíveis ao longo da jornada do cliente.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
