Cibercriminosos estão explorando a popularidade do Microsoft Teams para espalhar um perigoso malware chamado Oyster. Eles usam táticas sofisticadas, como anúncios falsos (malvertising) e a manipulação de resultados de busca (o chamado “envenenamento de SEO“), para garantir que seus sites fraudulentos apareçam no topo das pesquisas de usuários.

Essa abordagem facilita que vítimas desavisadas encontrem e baixem uma versão adulterada do aplicativo, que na verdade instala o malware. Com isso, os invasores obtêm acesso remoto ao computador e podem até mesmo realizar ataques de ransomware.

Entendendo a Ameaça

O Oyster é um malware tipo backdoor, escrito em C++, que foi identificado pela primeira vez em julho de 2023. Uma vez instalado, ele permite aos criminosos abrir sessões remotas, possibilitando a transferência de arquivos e a execução de comandos.

Como o Golpe da Instalação Falsa Funciona

1. A Isca: O golpe começa quando usuários buscam por termos como “Teams download” nos mecanismos de pesquisa.
2. O Site Falso: Os criminosos promovem ativamente links que levam a domínios que não pertencem à Microsoft, como o endereço “teams-install[.]top”, que é construído para se parecer exatamente com a página oficial de download do Teams.
3. O Download Malicioso: Ao clicar no link, a vítima baixa um arquivo chamado “MSTeamsSetup.exe” — o mesmo nome do instalador legítimo.
4. A Falsa Legitimidade: Para enganar softwares de segurança, o arquivo malicioso chegou a ser assinado digitalmente com certificados de empresas como 4th State Oy e NRM Network Risk Management Inc, dando uma aparência de confiabilidade.
5. A Infecção: Ao ser executado, o programa instala uma DLL chamada “CaptureService.dll” na pasta do sistema e, para garantir a persistência da infecção, ele cria uma tarefa agendada que é executada a cada 11 minutos, mantendo o backdoor sempre ativo, mesmo após reinicializações.

Alerta de Tática Recorrente

Essa estratégia de combinar manipulação de SEO com anúncios maliciosos (malvertising) para promover versões trojanizadas (adulteradas) de softwares populares não é nova. Pesquisadores de segurança (como a Blackpoint e a Arctic Wolf) relataram que essa mesma tática já foi vista em campanhas que envolviam instaladores falsos de Google Chrome, PuTTY, e WinSCP, além do próprio Teams. A confiança nas marcas conhecidas e no bom ranqueamento dos sites é o principal vetor de exploração.

Medidas de Proteção Essenciais

Para evitar ser vítima dessa e de outras campanhas de malware que se disfarçam como downloads legítimos, siga estas dicas de segurança:

• Priorize Fontes Oficiais: Baixe sempre programas diretamente dos sites oficiais da Microsoft, Google, ou dos desenvolvedores legítimos. Evite clicar em anúncios de “download” que aparecem no topo das páginas de busca.
• Verifique o Endereço (URL): Antes de clicar ou fazer o download, confira o endereço do site na barra do navegador. Procure pelo domínio correto (exemplo: microsoft.com ou teams.microsoft.com), e desconfie de URLs estranhas (como “teams-install.top”).
• Mantenha a Segurança Ativa: Certifique-se de que seu antivírus ou solução de segurança esteja ativo e que seu sistema operacional esteja sempre atualizado.
• Cuidado com a Pressa: Desconfie de anúncios em buscadores que prometem versões “novas”, “rápidas” ou “exclusivas” de softwares já conhecidos.

Você costuma procurar softwares para download diretamente no Google ou prefere ir ao site oficial?