Golpe do Zoom infecta 1.437 usuários com software de vigilância
Uma campanha de phishing sofisticada, envolvendo um site falso do Zoom, infectou 1.437 usuários em apenas 12 dias com uma versão não autorizada do software de monitoramento Teramind. Detectada inicialmente em 11 de fevereiro de 2026 na plataforma Microsoft Defender for Endpoint, a operação utiliza engenharia social avançada para induzir vítimas a instalar silenciosamente um agente de vigilância que registra keystrokes, captura telas e monitora toda a atividade do computador.
A armadilha psicológica
O ataque começa quando um usuário acessa uswebzoomus[.]com/zoom/, um site projetado para se parecer exatamente com uma sala de espera legítima do Zoom. Conforme a página carrega, três participantes falsos - "Matthew Karlsson", "James Whitmore" e "Sarah Chen" - aparecem para entrar na chamada um por um, cada um anunciado por um som realista do Zoom, com áudio de conversa em loop ao fundo.
A sequência só é ativada quando uma pessoa real interage com a página, fazendo com que scanners de segurança automatizados que não clicam não vejam nada suspeito. Um banner permanente de "Problema de Rede" é embutido na página falsa - não um defeito, mas uma configuração deliberada. O áudio entrecortado e o vídeo congelado criam frustração, levando os visitantes a assumir que há algo errado com seu aplicativo.
Dez segundos depois, um pop-up aparece: "Atualização Disponível - Uma nova versão está disponível para download", com uma contagem regressiva de cinco segundos e nenhuma opção para fechá-lo. Quando o contador chega a zero, o navegador baixa silenciosamente um instalador malicioso enquanto exibe uma tela falsa da Microsoft Store mostrando "Zoom Workplace" em meio à instalação - uma distração convincente enquanto a carga útil real chega à pasta Downloads sem qualquer solicitação de permissão.
Stealth por design
O arquivo malicioso, zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced)(1).msi (hash SHA-256: 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa), foi compilado especificamente para execução invisível, como indicado pelo caminho de build interno contendo o nome da pasta "out_stealth". Uma vez executado através do Windows Installer, o agente coleta o nome do computador, conta de usuário ativa, idioma do teclado e localidade do sistema, relatando toda a atividade de volta a um servidor Teramind controlado pelo atacante.
O binário do agente usa por padrão o nome dwm.exe e é instalado em C:\ProgramData\{4CEC2908-5CE4-48F0-A717-8FC833D8017A}. O instalador também é projetado para detectar ambientes sandbox usados por pesquisadores de segurança - uma técnica chamada detecção de ambiente de depuração (DETECT_DEBUG_ENVIRONMENT). Se suspeitar de análise, o instalador pode alterar seu comportamento para evitar acionar ferramentas de segurança.
Implicações e resposta
Como os arquivos pertencem a um produto comercial legítimo, ferramentas antivírus tradicionais que dependem de assinaturas maliciosas conhecidas podem não detectar essa ameaça. A Teramind confirmou que não tem afiliação com os agentes de ameaça e não autorizou a implantação de seu software de forma alguma.
Equipes de segurança devem adicionar imediatamente o hash SHA-256 e o domínio uswebzoomus[.]com às listas de bloqueio de locatários. Usuários que visitaram a página falsa do Zoom não devem abrir o arquivo baixado. Qualquer pessoa que já executou o instalador deve tratar o dispositivo como comprometido, verificar a pasta oculta em C:\ProgramData, confirmar se o serviço tsvchst está em execução e alterar todas as senhas - e-mail, bancárias e de trabalho - a partir de um dispositivo limpo separado.
Incidentes relacionados ao trabalho devem ser relatados imediatamente à equipe de TI ou segurança. Para prevenir ataques semelhantes, os usuários devem sempre abrir o Zoom a partir do aplicativo instalado, digitar zoom.us manualmente no navegador e tratar qualquer link de reunião inesperado com cautela antes de clicar.