Cibercriminosos estão usando uma versão adulterada do Microsoft Teams para distribuir o Oyster, um malware do tipo backdoor. A campanha combina anúncios falsos e manipulação de resultados de busca (SEO poisoning) para atrair vítimas que procuram pelo aplicativo legítimo.
Como funciona o golpe
Quando usuários pesquisam por termos como “Teams download”, sites fraudulentos aparecem bem posicionados nos buscadores. Entre eles está o domínio “teams-install[.]top”, que imita a página oficial da Microsoft.
O download disponibilizado se chama “MSTeamsSetup.exe” — o mesmo nome usado pelo instalador legítimo. O detalhe que engana até usuários mais atentos é que o arquivo chegou a ser assinado digitalmente com certificados de empresas como 4th State Oy e NRM Network Risk Management Inc.
Ao executar o programa, o falso Teams instala uma DLL chamada “CaptureService.dll” na pasta do sistema. Para manter o acesso aberto, o malware cria uma tarefa agendada a cada 11 minutos, garantindo persistência mesmo após reinicializações.
O que é o malware Oyster
Detectado pela primeira vez em julho de 2023, o Oyster é um backdoor escrito em C++. Ele permite:
-
Sessões remotas com os criminosos;
-
Transferência de arquivos;
-
Execução de comandos pela linha de comando;
-
Possível uso em ataques de ransomware.
Segundo a BlackPoint, a tática de instalar softwares falsos já foi usada em campanhas envolvendo versões adulteradas do Google Chrome e até do próprio Teams. Agora, a estratégia mistura SEO envenenado com malvertising (anúncios maliciosos), explorando a confiança em grandes marcas.
Relatórios da Arctic Wolf mostram que desde junho de 2025, a mesma técnica vem sendo aplicada a outros softwares de TI, como PuTTY e WinSCP, além do Teams.
Como se proteger
Para reduzir o risco de cair em golpes como esse:
-
Baixe softwares apenas nos sites oficiais (ex.: microsoft.com ou teams.microsoft.com).
-
Desconfie de anúncios de “download rápido” em buscadores.
-
Verifique a URL com atenção antes de instalar qualquer programa.
-
Mantenha um antivírus ativo e o sistema operacional atualizado.
