Hackers utilizam falso Teams para ter acesso remoto a computadores

Uma versão maliciosa do Microsoft Teams está sendo usada por cibercriminosos para disseminar um malware conhecido como Oyster. Os hackers chegam a veicular propagandas falsas e técnicas de otimização de resultados de busca (SEO) para posicionar os sites fraudulentos no topo das pesquisas.

O modus operandi facilita que as vítimas acessem o site da campanha e façam o download do aplicativo falso. Com o malware, criminosos conseguem acesso remoto aos computadores e ainda podem realizar ataques de ransomware.

Oyster é um malware do tipo backdoor escrito na linguagem C++ que apareceu pela primeira vez em julho de 2023. Ele permite sessões remotas, com suporte a tarefas como transferência de arquivos e processamento de linha de comando.

Como o golpe do falso Teams funciona?

O site falso aparece quando usuários procuram por termos como “Teams download”. Embora os anúncios e o domínio não usem diretamente o endereço da Microsoft, eles direcionam para um site no domínio “teams-install[.]top”, que imita a página oficial de download do Microsoft Teams. 

Ao clicar no link de download, o usuário baixa um arquivo chamado “MSTeamsSetup.exe”, o mesmo nome usado no download oficial da Microsoft.

O arquivo malicioso chegou a ser assinado digitalmente com certificados de empresas como 4th State Oy e NRM Network Risk Management Inc, numa tentativa de parecer legítimo. 

Ao ser executado, o programa falso instala uma DLL chamada “CaptureService.dll” na pasta do sistema. Para se manter ativo, cria uma tarefa agendada que roda a cada 11 minutos, garantindo que o backdoor continue funcionando mesmo depois de reinicializações.

teams-falso.png.png
Site falso imita o original, mas a URL denuncia o golpe. Créditos: BlackPoint/Divulgação

Segundo a Blackpoint, essa tática não é nova: já foi usada em campanhas com instaladores falsos do Google Chrome e do próprio Teams. 

A estratégia combina envenenamento de SEO (para manipular resultados de busca) com malvertising (anúncios maliciosos), explorando a confiança dos usuários em marcas conhecidas e sites que aparecem bem ranqueados.

Desde o início de junho de 2025, a Arctic Wolf observou uma campanha de manipulação de SEO e malvertising que promove sites maliciosos hospedando versões adulteradas (Trojanized) de ferramentas legítimas de TI, como PuTTY e WinSCP – além do Teams.

Como se proteger?

Para se proteger de campanhas como essa de malwares em sites falsos, é importante verificar alguns pontos e adotar medidas de segurança como:

  • Baixe programas somente dos sites oficiais. Evite clicar em anúncios de “download” nas buscas;
  • Verifique sempre o endereço do site para ver se parece legítimo (por exemplo, “microsoft.com” ou “teams.microsoft.com”, não “teams-install.top” ou domínios estranhos);
  • Tenha um antivírus ou solução de segurança ativa e mantenha o sistema operacional atualizado;
  • Cuidado com anúncios que aparecem em buscadores prometendo “versões novas/rápidas” de programas conhecidos.

Para saber mais sobre golpes como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e em nosso canal do YouTube para mais notícias de segurança e tecnologia.
 

Autor: TechMundo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

Bocejo: bocejamos quando vemos alguém bocejando! A explicação vai te surpreender? 03/08
fotografia de um prato de massas em uma mesa posta
Fotografia de Alimentos as 5 dicas mais importantes para ter exito na profissão 20/08/25
sonham - moça sonhando e sorrindo deitada na cama
Sonho: As pessoas sonham em cores ou em preto e branco? – 22/08/2025
foto dos diversos imóveis vista area de Goiania
O que pesa na escolha do imóvel ideal em Goiânia? 31/07/25