Pesquisadores da Proofpoint identificaram uma atividade cibercriminosa sustentada e em evolução na América Latina nos últimos meses, com o Brasil emergindo consistentemente como o principal alvo. As campanhas foram conduzidas por um grupo ativo na região, além de Espanha e Portugal, com indícios de forte familiaridade com o contexto brasileiro e combinam alto volume de ataques com experimentação crescente em novas técnicas de invasão.
CONTEÚDO RELACIONADO: Brasil supera algumas ameaças, mas segue sofrendo outros tipos de ataques
Entre dezembro e fevereiro, foram observadas dezenas de campanhas utilizando iscas em português e espanhol, frequentemente se passando por instituições confiáveis, como bancos, órgãos governamentais e serviços de compartilhamento de documentos. Essas mensagens, baseadas em engenharia social, exploram familiaridade e senso de urgência para aumentar a probabilidade de interação com links ou anexos maliciosos.
Chamado pela Proofpoint como TA2725, o grupo criminoso tem como principal objetivo o ganho financeiro, alcançado por meio da disseminação de malware bancário e roubo de credenciais. Trata-se, atualmente, do ator de ameaça com maior volume de atividade monitorado pela Proofpoint globalmente, o que reforça a escala e a recorrência de suas campanhas.
Spyware Astaroth é o mais utilizado pelo grupo
A família de malware mais comumente observada nas campanhas recentes é o Astaroth, um conhecido ladrão de informações capaz de capturar credenciais de login, pressionamentos de teclado e outros dados sensíveis. Além disso, o grupo tem distribuído, de forma intermitente, outras ameaças, incluindo Metamorfo e Mispado, ambos também focados em roubo de credenciais e fraude financeira.
Vale destacar que o TA2725 tem demonstrado sinais de evolução em suas táticas. Embora a entrega tradicional de malware ainda predomine, o ator tem experimentado ferramentas de monitoramento e gerenciamento remoto (RMM), como ScreenConnect e LogMeIn Resolve. Essas ferramentas administrativas legítimas podem ser exploradas para obter acesso remoto persistente a máquinas infectadas, dificultando a detecção e permitindo que os atacantes operem de forma mais discreta em ambientes comprometidos.
Outro ponto de atenção é o reaparecimento pontual do trojan bancário Grandoreiro, historicamente relevante na América Latina. Após ter sua atividade reduzida significativamente por conta de ações de autoridades no início de 2024, o Grandoreiro ressurgiu em um número reduzido de campanhas, sugerindo a possibilidade de uma reintrodução gradual, embora ainda não tenha retornado aos níveis anteriores de atividade.
Maturidade de grupo indica riscos para empresas
De forma geral, a atividade do TA2725 evidencia uma operação cibercriminosa madura e adaptável, segundo a Proofpoint, que continua priorizando o Brasil devido à sua grande economia digital e ao alto volume de usuários de serviços bancários online. Como ele tem se mostrado capaz de adaptar e evoluir seus ataques, é necessário que as organizações priorizarem a conscientização dos usuários juntamente com proteção avançada contra ameaças.
A aproximação da Copa do Mundo de futebol também é outro ponto que exige atenção das empresas, pois a Proofpoint já viu campanhas se aproveitando do evento para atingir usuários de criptomoedas. E-mails que se passavam pela carteira MetaMask convidavam os destinatários a reivindicar um “ingresso NFT gratuito da Copa do Mundo”, redirecionando-os para um site fraudulento projetado para roubar sua frase secreta de recuperação. Uma vez obtida, essa informação permite que os atacantes assumam controle total das carteiras de criptomoedas das vítimas.
Em conjunto, essas tendências mostram como os atores de ameaça estão combinando segmentação regional com engenharia social baseada em eventos para maximizar seus resultados. Organizações e indivíduos devem permanecer vigilantes, verificar a autenticidade de mensagens inesperadas e evitar compartilhar credenciais sensíveis ou frases de recuperação sob qualquer circunstância.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X.
