01 out Hackers utilizam falso Teams para ter acesso remoto a computadores

Uma versão maliciosa do Microsoft Teams está sendo usada por cibercriminosos para disseminar um malware conhecido como Oyster. Os hackers chegam a veicular propagandas falsas e técnicas de otimização de resultados de busca (SEO) para posicionar os sites fraudulentos no topo das pesquisas.

O modus operandi facilita que as vítimas acessem o site da campanha e façam o download do aplicativo falso. Com o malware, criminosos conseguem acesso remoto aos computadores e ainda podem realizar ataques de ransomware.

Oyster é um malware do tipo backdoor escrito na linguagem C++ que apareceu pela primeira vez em julho de 2023. Ele permite sessões remotas, com suporte a tarefas como transferência de arquivos e processamento de linha de comando.

Como o golpe do falso Teams funciona?

O site falso aparece quando usuários procuram por termos como “Teams download”. Embora os anúncios e o domínio não usem diretamente o endereço da Microsoft, eles direcionam para um site no domínio “teams-install[.]top”, que imita a página oficial de download do Microsoft Teams. 

Ao clicar no link de download, o usuário baixa um arquivo chamado “MSTeamsSetup.exe”, o mesmo nome usado no download oficial da Microsoft.

O arquivo malicioso chegou a ser assinado digitalmente com certificados de empresas como 4th State Oy e NRM Network Risk Management Inc, numa tentativa de parecer legítimo. 

Ao ser executado, o programa falso instala uma DLL chamada “CaptureService.dll” na pasta do sistema. Para se manter ativo, cria uma tarefa agendada que roda a cada 11 minutos, garantindo que o backdoor continue funcionando mesmo depois de reinicializações.

Site falso imita o original, mas a URL denuncia o golpe. Créditos: BlackPoint/Divulgação

Segundo a Blackpoint, essa tática não é nova: já foi usada em campanhas com instaladores falsos do Google Chrome e do próprio Teams. 

A estratégia combina envenenamento de SEO (para manipular resultados de busca) com malvertising (anúncios maliciosos), explorando a confiança dos usuários em marcas conhecidas e sites que aparecem bem ranqueados.

Desde o início de junho de 2025, a Arctic Wolf observou uma campanha de manipulação de SEO e malvertising que promove sites maliciosos hospedando versões adulteradas (Trojanized) de ferramentas legítimas de TI, como PuTTY e WinSCP – além do Teams.

Como se proteger?

Para se proteger de campanhas como essa de malwares em sites falsos, é importante verificar alguns pontos e adotar medidas de segurança como:

Baixe programas somente dos sites oficiais. Evite clicar em anúncios de “download” nas buscas;Verifique sempre o endereço do site para ver se parece legítimo (por exemplo, “microsoft.com” ou “teams.microsoft.com”, não “teams-install.top” ou domínios estranhos);Tenha um antivírus ou solução de segurança ativa e mantenha o sistema operacional atualizado;Cuidado com anúncios que aparecem em buscadores prometendo “versões novas/rápidas” de programas conhecidos.

Para saber mais sobre golpes como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e em nosso canal do YouTube para mais notícias de segurança e tecnologia.