Descoberta e escopo do relatório
Em 2025, o cenário de ameaças cibernéticas financeiras continuou a evoluir. Embora o malware bancário tradicional para PC tenha diminuído em prevalência relativa, esse declínio foi compensado pelo crescimento rápido do roubo de credenciais por infostealers. Os atacantes passaram a depender cada vez mais da agregação e reutilização de dados roubados, em vez de desenvolver capacidades inteiramente novas de malware.
A Kaspersky analisou dados anonimizados de atividades maliciosas detectadas nos dispositivos de usuários de produtos de segurança e dados disponibilizados através da Kaspersky Security Network (KSN), juntamente com dados publicamente disponíveis e dados da dark web. A análise cobriu phishing financeiro, malware bancário, infostealers e a dark web.
Phishing e engenharia social
A atividade de phishing em 2025 mudou para e-commerce (14,17%) e serviços digitais (16,15%), com atacantes adaptando cada vez mais campanhas a tendências regionais e comportamento do usuário. Isso torna a engenharia social mais direcionada, apesar da redução no foco em iscas bancárias tradicionais.
Globalemente, lojas online dominaram (48,45%), seguidas por bancos (26,05%) e sistemas de pagamento (25,50%). A queda no phishing bancário pode sugerir que esses serviços estão se tornando cada vez mais difíceis de ser falsificados com sucesso, então os fraudadores estão recorrendo a maneiras mais fáceis de acessar as finanças dos usuários.
Regionalmente, as tendências variam. No Oriente Médio, o phishing é esmagadoramente concentrado em e-commerce (85,8%), enquanto na África, o phishing relacionado a bancos lidera (53,75%). Na América Latina, empresas de entrega aparecem nas categorias principais, indicando que os atacantes estão explorando o crescimento da logística de e-commerce.
Malware financeiro e infostealers
O Windows permaneceu a plataforma principal visada por atacantes com malware financeiro. Famílias de origem brasileira, como Grandoreiro (parte do grupo Tetrade), se destacaram por sua atividade constante e alcance global. Apesar de uma grande interrupção por forças policiais no início de 2024, o Grandoreiro permaneceu ativo em 2025, reaparecendo com variantes atualizadas.
Outros atores notáveis incluíram Coyote e famílias emergentes como Maverick, que abusou do WhatsApp para distribuição. Além disso, o GoPix Trojan, focado nos usuários do sistema de pagamento Pix brasileiro, também é uma ameaça proeminente, capaz de visar o método de pagamento Boleto local e roubar criptomoedas.
Os infostealers desempenharam um papel significativo na habilitação do crime financeiro, colhendo credenciais, cookies e dados de preenchimento automático de navegadores e aplicativos. A Kaspersky apontou para um aumento nas detecções de infostealers (subindo 59% globalmente em PCs), alimentando ataques baseados em credenciais.
Ameaças financeiras na dark web
A equipe de Inteligência de Pegada Digital (DFI) da Kaspersky monitorou a atividade de infostealers para analisar tendências emergentes. Em 2025, mais de um milhão de contas bancárias online servidas pelos 100 maiores bancos do mundo foram vítimas de infostealers.
Os países com o maior número mediano de contas comprometidas por banco foram Índia, Espanha e Brasil. Setenta e quatro por cento dos cartões de pagamento comprometidos por malware infostealer, publicados em recursos da dark web em 2025, permaneceram válidos até março de 2026.
Isso significa que os atacantes ainda poderiam usar os cartões que foram roubados meses ou até anos antes. A venda de contas bancárias e cartões de pagamento na dark web continua a ser uma fonte de receita significativa para criminosos, muitas vezes oferecendo perfis completos de vítimas, conhecidos como "fullz".
Implicações regulatórias e operacionais
Para organizações, a tendência de ataques baseados em credenciais e a persistência de dados na dark web exigem uma mudança de foco para proteção de identidade e monitoramento em tempo real. A LGPD e outras regulamentações de proteção de dados tornam a gestão de credenciais e a resposta a incidentes ainda mais críticas.
Organizações devem adaptar-se focando na proteção de identidade, monitoramento em tempo real e inteligência de ameaças cross-channel. Usuários devem permanecer vigilantes contra técnicas de ataque cada vez mais sofisticadas e personalizadas.
O que os CISOs devem fazer imediatamente
1. Implementar autenticação multifator (MFA) em todos os sistemas críticos.
2. Monitorar a dark web para vazamento de credenciais corporativas.
3. Educar usuários sobre phishing direcionado e engenharia social.
4. Revisar políticas de acesso e privilégios para minimizar o impacto de credenciais comprometidas.