Aumento dos ataques cibercriminosos no Brasil e na América Latina: novo padrão de ameaça em ascensão
Pesquisadores da Proofpoint vêm registrando, nos últimos meses, uma atividade cibercriminosa intensa e contínua na América Latina, com destaque preocupante para o Brasil. O país aparece, de forma recorrente, como o principal alvo das campanhas observadas, o que revela não apenas o amadurecimento dos grupos criminosos, mas também o peso da economia digital brasileira e a massiva adoção de serviços bancários online na região.
Essas campanhas são conduzidas por um grupo identificado internamente pela Proofpoint como TA2725. Trata-se, hoje, do ator de ameaça com o maior volume de ataques monitorado globalmente pela empresa, concentrando boa parte de seus esforços no Brasil, mas também mirando outros países de língua portuguesa e espanhola, como Espanha e Portugal. A atividade do grupo combina campanhas de alto volume com uma constante experimentação de novas técnicas de invasão e persistência em ambientes comprometidos.
Entre dezembro e fevereiro, foram mapeadas dezenas de campanhas maliciosas em português e espanhol. Os golpistas se apresentam como instituições de confiança – bancos, órgãos governamentais, empresas de serviços e plataformas de compartilhamento de documentos – para dar legitimidade às mensagens. O foco principal é explorar engenharia social, abusando de elementos como senso de urgência, medo de perda de acesso, notificações falsas de cobrança ou bloqueio de contas para forçar a vítima a clicar em links ou abrir anexos infectados.
Essas mensagens falsas geralmente são bem elaboradas, com identidade visual semelhante à de instituições legítimas e textos que reproduzem o estilo de comunicação de bancos, repartições públicas e empresas conhecidas. Em muitos casos, os criminosos exploram temas em alta – como atualizações cadastrais, novas regulações, supostas pendências fiscais ou problemas em transações – para tornar a história mais convincente. O alvo, porém, é sempre o mesmo: induzir o usuário a baixar um malware ou entregar suas credenciais de acesso.
O TA2725 tem motivação essencialmente financeira. Seu modelo de atuação é baseado na disseminação de malwares bancários e na coleta de credenciais sensíveis, como logins, senhas, tokens e dados de cartão. Os criminosos utilizam essas informações para acessar contas bancárias, realizar transferências, efetuar compras fraudulentas ou vender os dados em mercados clandestinos digitais. A escala de suas campanhas faz com que, mesmo com taxas de sucesso relativamente baixas, o retorno financeiro continue sendo extremamente vantajoso para o grupo.
Entre as diversas famílias de malware empregadas nas campanhas recentes, o Astaroth (também conhecido como Guildma em algumas classificações) aparece com destaque. Esse ladrão de informações é capaz de registrar credenciais de login, capturar teclas digitadas (keylogging), coletar dados do navegador e monitorar outras atividades sensíveis do usuário. Em muitos casos, o Astaroth opera de forma furtiva, carregando módulos adicionais sob demanda, o que dificulta a detecção pelas soluções tradicionais de segurança.
Além do Astaroth, o TA2725 também distribui, de forma intermitente, outras ameaças voltadas ao roubo de credenciais e à fraude financeira, como os malwares bancários Metamorfo e Mispado. Essas famílias têm em comum a capacidade de monitorar sessões bancárias, interceptar dados de acesso, exibir telas falsas sobrepostas à interface legítima do banco (técnica de overlay) e manipular transações em tempo real, muitas vezes sem que o usuário perceba imediatamente.
A designação TA2725 segue o padrão interno da Proofpoint para classificação de grupos de ameaça (Threat Actors). A numeração auxilia na catalogação de acordo com o tipo de atividade desempenhada e com o perfil operacional de cada grupo. No caso em questão, o TA2725 se enquadra na categoria de cibercrime financeiro, caracterizada pelo uso de trojans bancários amplamente disponíveis e de outras ferramentas já consolidadas no submundo digital para roubar dados e dinheiro de empresas e pessoas físicas.
Um aspecto que chama a atenção na evolução recente do TA2725 é a adoção crescente de ferramentas legítimas de monitoramento e gerenciamento remoto (RMM). Softwares como ScreenConnect e LogMeIn Resolve, amplamente utilizados por equipes de suporte de TI para administrar máquinas à distância, passaram a ser explorados pelo grupo como vetor de ataque e mecanismo de persistência. Uma vez instaladas sem o conhecimento do usuário, essas ferramentas permitem que o criminoso acesse o dispositivo como se fosse um técnico autorizado, com grande grau de controle.
O uso de RMMs legítimos traz duas vantagens importantes para o atacante. Em primeiro lugar, reduz a chance de detecção, já que muitos antivírus e controles de segurança não classificam automaticamente esses programas como maliciosos. Em segundo, dá ao cibercriminoso uma presença persistente e flexível na máquina comprometida, permitindo observação prolongada, movimentação lateral dentro da rede e execução de ações manuais altamente direcionadas, como o roubo de credenciais específicas ou o desvio de transações críticas.
Outro ponto relevante observado pelos pesquisadores é o reaparecimento pontual do trojan bancário Grandoreiro, historicamente bastante ativo em campanhas direcionadas à América Latina. Após uma redução expressiva em sua atividade no início de 2024, relacionada a ações de autoridades contra operadores e infraestrutura de comando e controle, o Grandoreiro voltou a ser identificado em um número limitado de campanhas. Embora ainda esteja longe dos volumes anteriores, esse ressurgimento sugere uma possível tentativa de reintrodução gradativa desse malware no arsenal dos cibercriminosos.
O fato de atores como o TA2725 continuarem a apostar no Brasil não é um acaso. O país tem um dos maiores mercados bancários digitais do mundo, forte cultura de uso de aplicativos financeiros e alta penetração de smartphones e internet. Ao mesmo tempo, muitas organizações ainda carecem de programas robustos de conscientização em segurança para funcionários e clientes, e uma parte significativa da população mantém hábitos digitais inseguros, como reutilizar senhas, clicar em links desconhecidos ou ignorar sinais de fraude em mensagens suspeitas.
Para as empresas, o cenário exige uma combinação de tecnologias de proteção avançada e investimentos consistentes em educação de usuários. Filtragem de e-mails, detecção de ameaças baseada em comportamento, autenticação multifator, monitoramento contínuo de endpoints e segmentação de rede são medidas fundamentais para reduzir a superfície de ataque. No entanto, nenhuma solução técnica é eficaz se usuários continuarem caindo em golpes de engenharia social, fornecendo voluntariamente as chaves de acesso aos sistemas.
Já para os usuários finais, a principal linha de defesa continua sendo a atenção redobrada. Desconfiar de mensagens inesperadas que pedem dados pessoais, senhas, códigos de autenticação ou exigem ações urgentes é essencial. Verificar diretamente com o banco ou órgão supostamente remetente, digitando o endereço do site no navegador em vez de clicar em links recebidos, é uma prática básica que pode evitar a infecção por malwares como Astaroth, Metamorfo, Mispado ou Grandoreiro. Manter sistemas e aplicativos atualizados, além de utilizar soluções de segurança confiáveis, complementa essa proteção.
Outro ponto crítico é a gestão de credenciais. O uso de gerenciadores de senhas, a adoção de autenticação em múltiplos fatores e a criação de senhas fortes e únicas para cada serviço diminuem significativamente o impacto de um eventual vazamento. Mesmo que o cibercriminoso consiga capturar uma combinação de login e senha por meio de malware ou página falsa, barreiras adicionais, como tokens físicos, biometria ou aplicativos de autenticação, podem impedir o acesso indevido às contas.
No âmbito regulatório e institucional, a intensificação dos ataques serve como alerta para a necessidade de cooperação contínua entre autoridades, empresas de segurança, instituições financeiras e grandes organizações dos setores público e privado. Ações coordenadas já mostraram ser capazes de desestabilizar infraestrutura de grupos criminosos e reduzir sua capacidade operacional, como no caso da queda temporária de atividade do Grandoreiro. Entretanto, a rápida adaptação dos cibercriminosos exige esforços igualmente ágeis e permanentes.
Olhar para o futuro significa reconhecer que o cibercrime financeiro na América Latina tende a se tornar ainda mais sofisticado. A convergência entre técnicas tradicionais de phishing, uso de malwares bancários, abuso de ferramentas legítimas de acesso remoto e, potencialmente, o emprego de automação e inteligência artificial pelos próprios criminosos, compõe um cenário em que a linha entre ataque simples e operação avançada fica cada vez mais tênue. Grupos como o TA2725 mostram que a região já está no centro desse movimento.
Em síntese, o aumento dos ataques cibercriminosos no Brasil e na América Latina, liderado por atores como o TA2725, evidencia uma operação organizada, madura e em constante evolução, com forte foco em ganhos financeiros. A combinação de engenharia social, malwares bancários e ferramentas RMM legítimas torna essas campanhas particularmente perigosas. A resposta passa por uma postura de segurança mais proativa por parte de empresas e usuários, bem como por uma cultura digital mais consciente, na qual a desconfiança saudável e a verificação constante sejam parte do dia a dia online.