Uma sofisticada campanha de phishing identificada pela Malwarebytes está usando links falsos para reuniões no Zoom e Google Meet para enganar usuários e instalar uma versão modificada do software legítimo de monitoramento Teramind no Windows. O golpe explora a familiaridade das pessoas com links de videochamada para iniciar um processo de instalação falso que, no final, implanta um agente de vigilância que rouba dados sensíveis.
A anatomia do golpe
O ataque começa com o recebimento de um link aparentemente normal para uma reunião no Zoom. Ao acessá-lo, a vítima é levada a uma página que imita perfeitamente uma sala de espera do Zoom, incluindo sons de pessoas entrando. Em seguida, a página reproduz um áudio com falhas e exibe uma mensagem permanente de "erro de rede". Após alguns instantes, uma janela pop-up informa que uma "atualização é necessária para continuar" e inicia automaticamente a contagem regressiva para o download de um instalador malicioso.
O instalador, por sua vez, simula a abertura da Microsoft Store e apresenta uma interface que parece instalar o "Zoom Workplace". No entanto, em segundo plano, ele implanta silenciosamente uma versão modificada do Teramind, um software legítimo usado por empresas para monitorar dispositivos corporativos. Os pesquisadores observaram campanhas idênticas usando o Google Meet como isca.
Capacidades do malware
Uma vez instalado, o Teramind modificado opera sem ícones ou notificações, coletando uma ampla gama de dados da vítima de forma furtiva:
- Keylogging: Registra todas as teclas pressionadas pelo usuário.
- Captura de tela: Tira screenshots da tela em intervalos.
- Área de transferência: Monitora e copia qualquer conteúdo copiado.
- Histórico do navegador: Coleta o histórico de navegação.
- Inventário de software: Lista os aplicativos instalados no sistema.
Todos os dados coletados são enviados para servidores controlados pelos atacantes.
O que torna este golpe notável
Esta campanha se destaca por não usar um malware tradicional ou conhecido. Em vez disso, os atacantes "weaponizam" um software legítimo de monitoramento (Teramind), modificando-o para enviar dados para seus próprios servidores. Essa técnica, conhecida como "Living-off-the-Land", torna a detecção mais difícil, pois o software em si não é malicioso e pode não ser sinalizado por soluções de antivírus.
Recomendações de proteção
Para se proteger contra este e golpes similares, os especialistas recomendam:
- Verificar o domínio: Sempre confira o endereço web real do link da reunião antes de clicar. Links legítimos do Zoom começam com zoom.us e do Google Meet com meet.google.com.
- Nunca instalar atualizações de sites pop-up: Nunca baixe ou execute arquivos de atualização solicitados por janelas pop-up dentro de um navegador. Atualizações legítimas devem ser buscadas diretamente no site oficial do aplicativo.
- Confirmar a reunião: Se receber um link inesperado, confirme diretamente com o organizador (por outro canal, como telefone ou mensagem) se a reunião é legítima.
- Usar soluções de segurança: Manter um antivírus/antimalware atualizado pode ajudar a detectar comportamentos suspeitos, mesmo de softwares legítimos modificados.
Este caso serve como um lembrete de que os cibercriminosos continuam a refinar suas táticas de engenharia social, explorando a confiança do usuário em aplicativos de trabalho cotidianos e a linha tênue entre ferramentas legítimas de administração e vigilância maliciosa.