Uma nova pesquisa da Proofpoint, referência global em segurança cibernética e compliance, revela que o Brasil continua no radar dos cibercriminosos. O estudo identificou que o agente de ameaças TA2725 mantém sua posição como o grupo mais ativo da América Latina e o segundo mais presente globalmente em campanhas maliciosas.
Rastreado desde março de 2022, o TA2725 é conhecido por utilizar malwares bancários brasileiros e táticas de phishing para atacar principalmente alvos no Brasil, México e Espanha. Suas campanhas têm como foco o roubo de credenciais bancárias, dados de contas de consumidores e informações de pagamento de serviços como Netflix e Amazon. O grupo hospeda seus redirecionadores de URL na GoDaddy, empresa popular de hospedagem e registro de domínios.
Malware “Astaroth” ressurge em campanhas de larga escala
De acordo com a Proofpoint, o TA2725 voltou a usar o malware Astaroth, tradicional ameaça do cibercrime brasileiro, em campanhas amplas contra usuários brasileiros. Além disso, ataques recentes de phishing vêm falsificando os principais bancos do país, com o objetivo de enganar vítimas e capturar suas credenciais de acesso.
Criminosos adotam ferramentas legítimas de RMM em ataques
Um dos pontos de alerta do estudo é o uso crescente de ferramentas legítimas de monitoramento e gerenciamento remoto (RMM) por parte de agentes de ameaças como o TA2725. Originalmente projetadas para administradores de TI, essas ferramentas passaram a ser exploradas por criminosos para obter acesso inicial, roubar dados financeiros e instalar malwares ou ransomwares subsequentes.
Em janeiro de 2025, o TA2725 utilizou a ferramenta ScreenConnect pela primeira vez em campanhas por e-mail voltadas a organizações no México. Os ataques se disfarçavam de contas de energia elétrica, contendo URLs que levavam à instalação da RMM. Essa tática marca uma mudança na abordagem dos criminosos, que vêm abandonando os carregadores de malware e botnets tradicionais para usar soluções que evitam a detecção por parecerem legítimas.
Além do ScreenConnect, outras ferramentas de RMM como Fleetdeck e Atera também foram identificadas em campanhas recentes. Por outro lado, o uso do NetSupport, que antes dominava esse cenário, vem diminuindo.
Prevenção e conscientização são fundamentais
Para Marcos Nehme, diretor de vendas da Proofpoint, as mudanças nas táticas dos cibercriminosos exigem uma nova postura das empresas.
“À medida que os cibercriminosos evoluem suas táticas, vemos uma dependência cada vez maior de ferramentas que se misturam com a infraestrutura de TI legítima, tornando os ataques mais difíceis de detectar”, disse.
“As organizações no Brasil e em toda a América Latina precisam fortalecer a segurança do e-mail, monitorar rigorosamente atividades não autorizadas de RMM e, acima de tudo, investir na conscientização e capacitação de seus colaboradores. Uma estratégia eficaz de cibersegurança começa pelas pessoas — é ao proteger e educar os usuários que conseguimos reduzir riscos e responder com mais eficiência às ameaças digitais”, complementa Nehme.
Tendência para 2025: ataques mais sofisticados e disfarçados
A pesquisa indica que o uso de ferramentas de RMM por cibercriminosos tende a crescer ao longo de 2025. Com elas, os agentes maliciosos ganham uma forma eficaz de manter acesso persistente às redes atacadas, enquanto evitam os métodos tradicionais de detecção.
Diante desse cenário, especialistas reforçam a necessidade de estratégias proativas de segurança cibernética, com foco não apenas em tecnologia, mas também em educação digital e monitoramento contínuo.
