Campanha envenena buscas e distribui instalador falso do Microsoft Teams
Reliaquest documenta uma operação que usa SEO envenenado e domínios typosquatted para convencer usuários a baixar um instalador trojanizado que instala o backdoor ValleyRAT e mantém uma cópia legítima do Teams para disfarce.
Descoberta e escopo / O que mudou agora
Reliaquest relata que a campanha, ativa desde novembro de 2025, usa um site fake (teamscn[.]com) para se posicionar em resultados de busca e atrair vítimas que procuram o Microsoft Teams. O instalador entregue é trojanizado e a cadeia de infecção foi ligada ao grupo identificado pelos pesquisadores como “Silver Fox” com base em infraestrutura sobreposta a campanhas anteriores.
Vetor e exploração / Mitigações
O drop inicial frequentemente vem em um ZIP chamado MSTчamsSetup.zip, contendo Setup.exe. Ao executar, o instalador faz verificações por AVs regionais (por exemplo, busca por "360 Total Security"), usa um comando PowerShell para adicionar exclusões ao Windows Defender (Add-MpPreference -ExclusionPath C:\,D:\,E:\,F:\) e executa um binário trojanizado chamado Verifier.exe que lê um Profiler.json com dados binários para ativar o carregador.
Ao final, o atacante instala uma versão legítima do Microsoft Teams e cria um atalho na área de trabalho, reduzindo as chances de detecção pelo usuário enquanto o ValleyRAT mantém persistência e controle remoto.
Contra‑medidas imediatas: educar equipes sobre typosquatting e downloads via resultado de busca, bloquear e monitorar domínios typosquatted conhecidos (ex.: teamscn[.]com), restringir execução de binários vindos de ZIP/ISO em endpoints sensíveis, aplicar políticas de Application Control e revisar exclusões no Defender para detectar adições recentes e não autorizadas.
Impacto e alcance / Setores afetados
O lure foi projetado para capitalizar ampla adoção do Teams em ambientes corporativos — o que aumenta o risco de penetração lateral em redes de alto valor. Embora o domínio apunte para falhas de busca direcionadas a usuários chineses, a técnica (SEO poisoning + typosquatting) é replicável em outros idiomas e regiões; portanto, o alcance potencial é global.
Limites das informações / O que falta saber
Reliaquest aponta forte confiança em atribuição a Silver Fox por sobreposição de infraestrutura, mas reconhece que o uso deliberado de elementos em cirílico e outros falsos elementos de atribuição é empregado pelos operadores como false flag. Não há no relatório público número consolidado de máquinas comprometidas nem uma lista completa de IoCs no resumo disponibilizado.
Repercussão / Próximos passos
Equipes de SOC e TI devem rever regras de detecção para instalação de software via instaladores baixados de resultados de busca, monitorar adições a exclusões do Defender e bloquear domínios e artefatos indicados pelos pesquisadores. Para detecção, verificar execução de Setup.exe com comportamento de manipulação de exclusions e presença dos arquivos Profiler.json e Verifier.exe em endpoints. Atribuição e investigação forense devem considerar a possibilidade de false flags deliberadas.
Fonte: Cyber Security News (análise Reliaquest)