Brasil lidera surto de ataque hacker na América Latina

Pesquisadores da Proofpoint registraram um aumento significativo e contínuo de ataques cibercriminosos na América Latina nos últimos meses, com o Brasil aparecendo como o alvo principal. 

As campanhas são lideradas por um grupo que atua também na Espanha e em Portugal e demonstra forte conhecimento do contexto brasileiro. O ator combina grande volume de ataques com testes cada vez mais frequentes de novas técnicas de invasão.

De dezembro a fevereiro, o grupo disparou dezenas de campanhas usando iscas em português e espanhol. As mensagens se passam por bancos, órgãos públicos e serviços de compartilhamento de arquivos, explorando engenharia social, senso de urgência e familiaridade para levar as vítimas a clicar em links ou abrir anexos maliciosos.

Grupo cibercriminoso responsável por ataques

O grupo é identificado pela Proofpoint como TA2725 e tem como principal meta o lucro financeiro por meio de malware bancário e roubo de credenciais.

Hoje, é o ator de ameaça com o maior volume de atividade monitorado pela empresa em todo o mundo. A principal ferramenta utilizada nas campanhas recentes é o malware Astaroth, capaz de capturar senhas, teclas digitadas e outros dados sensíveis. 

De forma intermitente, o TA2725 também distribui as ameaças Metamorfo e Mispado, igualmente focadas em roubo de informações e fraudes bancárias.O TA2725 integra a categoria de cibercrime financeiro da classificação interna da Proofpoint. 

Embora ainda use majoritariamente a entrega tradicional de malware, o grupo vem testando ferramentas legítimas de gerenciamento remoto (RMM), como ScreenConnect e LogMeIn Resolve. Essas soluções permitem acesso remoto persistente às máquinas infectadas, tornando a detecção mais difícil e a operação dos criminosos mais discreta.

Os pesquisadores também notaram o retorno pontual do trojan bancário Grandoreiro, que havia sido praticamente desativado após ações policiais no início de 2024. O malware reapareceu em poucas campanhas, sinalizando uma possível tentativa de retomada gradual, embora ainda em escala reduzida.

A operação do TA2725 revela um grupo maduro e adaptável que prioriza o Brasil por causa do tamanho da economia digital e do grande número de usuários de serviços bancários online.

“Grupos cibercriminosos como o TA2725 são altamente adaptáveis, refinando continuamente suas técnicas para explorar melhor o comportamento humano e marcas confiáveis”, afirmou Marcos Nehme, Country Manager da Proofpoint para o Brasil. 

“Estamos observando uma mudança clara em direção a métodos de entrega mais sofisticados e iscas mais oportunas, o que aumenta a probabilidade de sucesso. Isso reforça a necessidade de as organizações priorizarem a conscientização dos usuários juntamente com proteção avançada contra ameaças.”

Em paralelo, a Proofpoint detectou o uso de grandes eventos globais em golpes de criptomoedas. Em uma campanha recente, criminosos enviaram e-mails falsos em nome da carteira MetaMask oferecendo um “ingresso NFT gratuito da Copa do Mundo FIFA 2026”. 

Quem clicava era levado a um site falso que roubava a frase de recuperação da carteira, dando aos atacantes controle total sobre os ativos digitais da vítima.

Essas ações mostram como os criminosos combinam foco regional com engenharia social baseada em eventos atuais para maximizar os resultados. A recomendação da Proofpoint é clara: organizações e usuários devem verificar sempre a autenticidade de mensagens inesperadas e nunca compartilhar credenciais ou frases de recuperação.