# TA2727 > [!medium] Grupo criminoso de malvertising com infostealers multiplataforma > TA2727 é um grupo cibercriminoso financeiramente motivado rastreado pela Proofpoint desde início de 2025. O grupo distribui infostealers multiplataforma (Windows, macOS, Android) por meio de campanhas de web inject em sites comprometidos, utilizando iscas de atualização falsa de navegador. Em fevereiro de 2025, foi associado ao novo malware FrigidStealer para macOS. > [!latam] Relevância para o Brasil e América Latina > O TA2727 não tem campanhas documentadas direcionadas ao Brasil, mas o modelo de comprometimento de sites legítimos é geograficamente agnóstico. Qualquer site popular brasileiro infectado com o web inject do grupo pode servir como vetor para usuários locais. O crescimento do uso de macOS em empresas brasileiras de tecnologia, startups e agências torna o FrigidStealer uma ameaça crescente para o mercado nacional. ## Visão Geral O **TA2727** é um grupo de ameaça cibercriminoso rastreado pela **Proofpoint** desde janeiro de 2025. A origem geográfica do grupo é desconhecida; ele opera globalmente por meio de fóruns de crime cibernético, compra de tráfego malicioso e colaboração com outros atores especializados como **TA2726** (um serviço de distribuição de tráfego, ou TDS — Traffic Distribution Service) e **TA569** (operadores do SocGholish). A motivação do TA2727 é exclusivamente **financeira**: distribuir malware do tipo infostealer para roubo de credenciais, dados de sessão de browser, carteiras de criptomoeda e informações financeiras das vítimas, revendendo os dados obtidos ou utilizando-os diretamente em fraudes. O modus operandi do grupo é o **web inject via sites comprometidos**: scripts JavaScript maliciosos são injetados em sites legítimos visitados pelas vítimas, que são redirecionadas — via TDS — para páginas que exibem pop-ups falsos de atualização de navegador (Chrome, Edge). Dependendo do sistema operacional e da localização geográfica detectados, o payload entregue varia: **LummaStealer** ou **DeerStealer** para Windows, **FrigidStealer** para macOS, e **Marcher** para Android. Em **fevereiro de 2025**, o TA2727 ganhou destaque na comunidade de segurança ao ser associado ao **FrigidStealer** — um infostealer inédito para macOS nomeado pela própria Proofpoint. O malware representa uma expansão significativa do ecossistema de stealers para além do Windows, refletindo a crescente valorização dos dados de usuários Apple. Para o Brasil e a América Latina, não há campanhas documentadas específicamente direcionadas à região. No entanto, o modelo de distribuição via sites comprometidos é geograficamente agnóstico — qualquer site popular no Brasil infectado com o script do TA2727 pode servir como vetor para usuários brasileiros. ## TTPs Principais | Tática | Técnica | ID MITRE | Descrição | |--------|---------|----------|-----------| | Acesso Inicial | Drive-by Compromise | T1189 | Sites comprometidos com JS malicioso | | Acesso Inicial | Spearphishing Link | T1566.002 | Links em e-mails para sites comprometidos | | Execução | JavaScript | T1059.007 | Web inject JavaScript para redirecionamento TDS | | Execução | Malicious File | T1204.002 | Usuário executa "atualização" do browser | | Evasão | Masquerading | T1036 | Pop-ups imitando atualizações Chrome/Edge legítimas | | Coleta | Input Capture | T1056 | Roubo de credenciais salvas no browser | | Coleta | Credential from Store | T1555.003 | Extração de senhas salvas no navegador | | Coleta | Steal Web Session | T1539 | Roubo de cookies de sessão ativos | ## Attack Flow ```mermaid graph TB A["🌐 Comprometimento de Site<br/>JS inject em site legítimo<br/>Parceria com TA2726 TDS"] --> B["👤 Usuário Visita Site<br/>Detecção de OS, browser<br/>e localização geográfica"] B --> C["🎭 Lure de Falsa Atualização<br/>Pop-up Chrome / Edge<br/>Visual convincente"] C --> D{"Qual plataforma?"} D --> E["🪟 Windows<br/>LummaStealer / DeerStealer"] D --> F["🍎 macOS<br/>FrigidStealer"] D --> G["📱 Android<br/>Marcher"] E --> H["💰 Exfiltração<br/>Credenciais, cookies<br/>carteiras crypto"] F --> H G --> H classDef site fill:#3498db,color:#ecf0f1 classDef user fill:#e67e22,color:#ecf0f1 classDef lure fill:#9b59b6,color:#ecf0f1 classDef decision fill:#2c3e50,color:#ecf0f1 classDef win fill:#3498db,color:#ecf0f1 classDef mac fill:#2ecc71,color:#2c3e50 classDef android fill:#f1c40f,color:#2c3e50 classDef exfil fill:#e74c3c,color:#ecf0f1 class A site class B user class C lure class D decision class E win class F mac class G android class H exfil ``` ## Campanhas Notáveis ### Campanha FrigidStealer macOS (Janeiro-Fevereiro 2025) Em janeiro de 2025, a Proofpoint documentou campanhas do TA2727 distribuindo um novo infostealer para macOS, batizado de **FrigidStealer**. O malware era entregue a usuários Mac localizados fora da América do Norte (principalmente Europa) via pop-up de falsa atualização de Safari/Chrome. A campanha foi notável por ser uma das primeiras a demonstrar distribuição coordenada de stealers específicos para macOS em escala. ### Campanha Multi-Plataforma (Janeiro 2025) Nas primeiras semanas de 2025, o TA2727 operou campanhas simultâneas distribuindo payloads diferenciados por plataforma: usuários na América do Norte eram redirecionados para SocGholish (via TA569); usuários na Europa e em outros países recebiam LummaStealer (Windows) ou FrigidStealer (macOS); e usuários Android recebiam o trojan bancário Marcher. A operação revelou infraestrutura sofisticada de detecção de ambiente e entrega condicional de payloads. ### Colaboração com Ecosystem Criminoso O TA2727 opera dentro de um ecossistema bem definido: **TA2726** fornece o serviço de TDS (baseado no Keitaro) para rotear tráfego por geolocalização e tipo de dispositivo, enquanto o TA2727 mantém os sites de distribuição e gerencia os payloads. Essa divisão de trabalho indica um nível de especialização e maturidade operacional característico de grupos criminosos organizados. ## Malware Utilizado | Malware | Plataforma | Tipo | Notas | |---------|-----------|------|-------| | [[lumma-stealer\|LummaStealer]] | Windows | Infostealer | MaaS popular; roubo de credenciais e crypto | | [[deerstealer\|DeerStealer]] | Windows | Infostealer | Stealer para alvos Windows não-NA | | [[frigidstealer\|FrigidStealer]] | macOS | Infostealer | Novo; nomeado pela Proofpoint em 2025 | | [[android-marcher\|Marcher]] | Android | Trojan bancário | Entregue a usuários Android via falsa atualização | ## Detecção e Defesa **Indicadores comportamentais a monitorar:** - Scripts JavaScript externos carregados por sites legítimos com redirecionamentos anômalos - Pop-ups de atualização de browser em sites que não são do fabricante do navegador - Download de arquivos .dmg ou .pkg não solicitados em macOS - Execução de arquivos .js ou .hta como resultado de navegação web - Tráfego para domínios TDS suspeitos ou domínios de C2 de stealers conhecidos **Mitigações recomendadas:** - Instalar extensões anti-malvertising (uBlock Origin) em todos os browsers corporativos - Implementar Secure Web Gateway (SWG) com categorização de URLs e bloqueio de redirecionamentos suspeitos - Habilitar proteções de browser como Safe Browsing no Chrome e SmartScreen no Edge - Treinar usuários para nunca instalar "atualizações de browser" fora do app oficial ou do site do fabricante - Implementar EDR em macOS — o FrigidStealer demonstra que Mac não é território seguro por padrão - Monitorar execução de scripts JavaScript no sistema fora do contexto de browser gerenciado ## Relevância LATAM O TA2727 não possui campanhas documentadas direcionadas específicamente ao Brasil ou à América Latina. A distribuição do grupo foi mapeada principalmente para Europa (França, Reino Unido) e América do Norte (EUA, Canadá). Contudo, o vetor de comprometimento de sites legítimos é geograficamente universal: qualquer site popular brasileiro infectado com o web inject do TA2727 pode servir como vetor para usuários locais. O crescimento do uso de macOS no ambiente corporativo brasileiro — especialmente em startups, agências de comunicação e empresas de tecnologia — aumenta o risco representado pelo FrigidStealer. Organizações que ainda tratam macOS como "sistema imune a malware" devem rever suas políticas de segurança de endpoint. ## Referências - [Proofpoint: Fake Updates + Two New Actors](https://www.proofpoint.com/us/blog/threat-insight/update-fake-updates-two-new-actors-and-new-mac-malware) - [The Hacker News: FrigidStealer macOS](https://thehackernews.com/2025/02/new-frigidstealer-malware-targets-macos.html) - [BleepingComputer: FrigidStealer](https://www.bleepingcomputer.com/news/security/new-frigidstealer-infostealer-infects-macs-via-fake-browser-updates/) - [Infosecurity Magazine: TA2727](https://www.infosecurity-magazine.com/news/proofpoint-frigidstealer-new-mac/)