Proofpoint aponta tendências de ameaças cibernéticas no Brasil

Nova pesquisa da Proofpoint, empresa que atua em cibersegurança e Compliance, revela que o cenário de ameaças à segurança cibernética no Brasil continua mudando com o notório agente de ameaças brasileiro, nomeado pela empresa como TA2725, mantendo a posição como o grupo mais ativo na América Latina e o segundo no mundo.

O TA2725 é rastreado pela Proofpoint desde março de 2022, conhecido por usar malware bancário brasileiro e phishing para atingir organizações principalmente no Brasil, México e Espanha. O agente foi observado visando credenciais de bancos nesses países, bem como credenciais de consumidores e informações de pagamento de contas da Netflix e da Amazon. O TA2725, normalmente, hospeda seu redirecionador de URL na GoDaddy, empresa registradora de domínios e hospedeira de sites.

O TA2725 continua sendo a principal ameaça na América Latina
De acordo com a pesquisa, o TA2725 voltou a implementar o malware bancário brasileiro “Astaroth” em campanhas de larga escala, visando principalmente os usuários brasileiros. Enquanto isso, outros ataques recentes de phishing de credenciais falsificaram especificamente os principais bancos, tentando roubar as credenciais de login bancário de seus clientes.

Criminosos buscam cada vez mais ferramentas de RMM
Os agentes de ameaças, incluindo o TA2725, estão usando cada vez mais ferramentas legítimas de Monitoramento e Gerenciamento Remoto (RMM) em campanhas de ataque baseadas em e-mail. Essas ferramentas, comumente usadas por administradores de TI, permitem que os criminosos cibernéticos obtenham acesso inicial, coletem dados, roubem informações financeiras e instalem malware subsequente, inclusive ransomware.

Em janeiro de 2025, o TA2725 foi observado usando a ferramenta ScreenConnect RMM pela primeira vez em campanhas de e-mail direcionadas a organizações no México. As campanhas incluíam contas de energia com URLs que levavam à instalação do ScreenConnect.

Essa mudança se alinha a uma tendência mais ampla, à medida que os agentes de ameaças se afastam dos carregadores de malware e botnets tradicionais, optando por ferramentas de RMM devido à sua capacidade de evitar a detecção e, ao mesmo tempo, manter o acesso persistente.

Os criminosos cibernéticos aproveitaram várias ferramentas de RMM, incluindo Fleetdeck, Atera e ScreenConnect, enquanto o NetSupport, anteriormente dominante, diminuiu seu uso.

Campanha TA2725 em espanhol observada em 14 de janeiro de 2025 com a entrega do ScreenConnect
“À medida que os cibercriminosos evoluem suas táticas, vemos uma dependência cada vez maior de ferramentas que se misturam com a infraestrutura de TI legítima, tornando os ataques mais difíceis de detectar”, disse Marcos Nehme, diretor de vendas da Proofpoint. “As organizações no Brasil e em toda a América Latina precisam fortalecer a segurança do e-mail, monitorar rigorosamente atividades não autorizadas de RMM e, acima de tudo, investir na conscientização e capacitação de seus colaboradores. Uma estratégia eficaz de cibersegurança começa pelas pessoas — é ao proteger e educar os usuários que conseguimos reduzir riscos e responder com mais eficiência às ameaças digitais”, complementa Nehme.

Com os criminosos cibernéticos expandindo seu uso de ferramentas de RMM, é provável que esses agentes de ameaças continuem a evoluir suas estratégias de ataque ao longo de 2025, ressaltando a necessidade de defesas proativas de segurança cibernética.

Serviço
www.proofpoint.com/br