Golpes, Inteligência de Ameaças

Reunião falsa no Zoom “atualização” instala silenciosamente versão não autorizada de ferramenta de monitoramento usada por cibercriminosos para espionar as vítimas

por Stefan Dasic | 24 de fevereiro de 2026
logotipo ampliado sobre um fundo que mostra um triângulo de advertência

ATUALIZAÇÃO (27 de fevereiro de 2026): Adicionamos mais clareza sobre o uso indevido de produtos comerciais legítimos.

ATUALIZAÇÃO (25 de fevereiro de 2026): A Teramind declarou que não tem nenhuma ligação com os agentes de ameaças descritos e que não autorizou a implantação do software mencionado. Outras atualizações foram feitas ao longo do texto para esclarecimento.  

Um site falso de reuniões do Zoom está silenciosamente instalando um software de vigilância em Windows . Os visitantes acessam uma imitação convincente de uma videochamada do Zoom. Momentos depois, uma contagem regressiva automática de “Atualização disponível” baixa um instalador malicioso, sem pedir permissão.

A campanha fraudulenta promove um instalador do Teramind, que é um produto legítimo e uma solução comercial de monitoramento da força de trabalho que as empresas utilizam para registrar o que os funcionários fazem nos computadores de trabalho, para vítimas inocentes. Nesta campanha cibercriminosa, no entanto, com a qual a Teramind não tem nenhuma afiliação, o programa abusado e alterado está sendo discretamente instalado nos computadores de pessoas comuns que pensavam estar participando de uma reunião.

Site falso do Zoom
Um site falso do Zoom

Toda a operação começa em uswebzoomus[.]com/zoom/, um site que abre como uma sala de espera do Zoom. No momento em que é carregado, ele envia discretamente uma mensagem aos invasores, informando-os de que alguém chegou.

Três participantes falsos com roteiro — “Matthew Karlsson”, “James Whitmore” e “Sarah Chen” — parecem entrar na chamada um por um, cada um anunciado por um sinal sonoro genuíno do Zoom. O áudio da conversa deles é repetido em loop no fundo.

A página se comporta de maneira diferente se ninguém interagir com ela. O áudio e a sequência da reunião só começam quando uma pessoa real clica ou digita. Ferramentas de segurança automatizadas que verificam páginas suspeitas sem interagir podem não detectar nada de anormal.

Um aviso permanente de “Problema de rede” é exibido sobre o bloco de vídeo principal. Não se trata de uma falha: a página foi programada para exibi-lo sempre. O áudio instável e o vídeo com atraso são totalmente deliberados e têm um objetivo psicológico específico. Um visitante que assiste a uma chamada com falhas naturalmente presumirá que há algo errado com o aplicativo. Quando um aviso de “Atualização disponível” aparece momentos depois, parece que o problema foi corrigido.

A contagem regressiva que ninguém pediu

Dez segundos após a tela da reunião aparecer, uma janela pop-up é exibida: “Atualização disponível — Uma nova versão está disponível para download”. Um indicador gira e um contador conta de cinco a zero. Não há botão para fechar.

A essa altura, o visitante já passou por uma ligação frustrante e cheia de falhas — e uma atualização de software é exatamente o que ele está esperando. O pop-up não surge como uma surpresa, mas como uma resposta.

Quando o contador chega a zero, o navegador recebe a instrução de baixar um arquivo silenciosamente. No mesmo momento, a página muda para o que parece ser a Microsoft Store, mostrando o “Zoom Workplace” em meio à instalação, girando e tudo mais. Enquanto o visitante assiste ao que parece ser uma instalação legítima resolvendo o problema, o instalador real já foi parar na pasta Downloads — e não pediu permissão em nenhum momento.

Uma atualização do Zoom com o Teramind integrado

O arquivo baixado é chamado zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced) (1).msi. É um formato padrão Windows . Sua impressão digital exclusiva é 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa.

O próprio nome do arquivo é revelador: a string s-i(__) copia a convenção de nomenclatura da Teramind para um instalador de instância furtiva, com o hash após ele identificando a conta específica da Teramind controlada pelo invasor à qual o agente se reportará.

A análise de segurança do conteúdo do arquivo revelou dois trechos de texto particularmente reveladores escondidos dentro dele: versão do agente 26.3.3403 e um campo chamado IP do servidor ou nome do host. Esses campos confirmam que o instalador foi pré-configurado para se conectar a um servidor Teramind controlado pelo invasor.

O instalador é executado através Windows sem apresentar uma interface interativa típica de instalação para o consumidor. O alvo que está sendo configurado como alvo de vigilância não tem ideia do que está acontecendo.

Construído para ser invisível

Dentro dos arquivos internos de compilação do instalador — notas deixadas pelo processo de desenvolvimento que normalmente só são vistas pelos autores do software — o nome da pasta  out stealth  aparece no caminho de compilação. Isso indica que os invasores configuraram o instalador usando a opção de implantação “modo furtivo” do Teramind, um recurso empresarial legítimo projetado para implantações de TI autorizadas, nas quais é necessário um agente invisível. No entanto, nessa campanha criminosa, esse recurso está sendo usado indevidamente para evitar a detecção nos dispositivos pessoais das vítimas.

Nesta versão do Windows , o MSI da Teramind nomeia por padrão o binário do agente como dwm.exe e instala-o em ProgramData\{GUID} diretório. Esse comportamento é documentado pelo fornecedor e pode ser alterado usando o TMAGENTEXE parâmetro do instalador.

Durante a instalação, o software se monta em etapas. Vários componentes do Teramind são descompactados em diretórios temporários durante a instalação. Esses arquivos intermediários não são assinados individualmente, o que às vezes pode acionar ferramentas de segurança durante a análise. A cadeia de instalação primeiro confirma se o Teramind já está na máquina e, em seguida, coleta o nome do computador, a conta de usuário atual, o idioma do teclado e a localidade do sistema. Esses são os detalhes de que o Teramind precisa para identificar o dispositivo e começar a relatar a atividade para quem o implantou.

O agente está configurado para se comunicar com uma instância remota do servidor Teramind, em conformidade com as implantações de monitoramento empresarial.

Projetado para enganar as ferramentas que o detectariam

Um dos aspectos mais deliberados deste instalador é o quanto ele se esforça para evitar ser analisado. Os pesquisadores de segurança examinam softwares suspeitos em ambientes controlados de “sandbox” (essencialmente máquinas virtuais isoladas onde o software pode ser executado com segurança enquanto é observado). Este instalador foi criado para detectar exatamente essa situação e se comportar de maneira diferente.

Os sinalizadores de análise de tempo de execução indicam a presença de lógica de depuração e detecção de ambiente (DETECT_DEBUG_ENVIRONMENTO instalador realiza verificações consistentes com a identificação de ambientes de análise ou sandbox e pode alterar seu comportamento nessas condições.

Assim que a instalação for concluída, o instalador remove seus arquivos temporários e pastas de preparação. Isso significa que, quando alguém verificar a máquina, os traços óbvios do instalador já podem ter desaparecido. O agente de monitoramento, no entanto, continua sendo executado em segundo plano.

O que torna esta campanha cibercriminosa excepcionalmente perigosa

A Teramind é um fornecedor de software legítimo cujo objetivo é cumprir uma função. As empresas pagam por ele para monitorar os funcionários em dispositivos pertencentes à empresa: ele registra cada tecla digitada, captura imagens da tela em intervalos regulares, registra quais sites foram visitados e quais aplicativos foram abertos, captura o conteúdo da área de transferência e rastreia atividades de e-mail e arquivos.

Em um contexto corporativo — onde os funcionários são informados e as políticas estão em vigor — isso é legal. Mas, neste caso, os cibercriminosos utilizam indevidamente a ferramenta Teramind e instalam secretamente o software em máquinas pessoais sem autorização.

Os invasores não criaram um malware personalizado. Eles implantaram um produto comercial desenvolvido profissionalmente, projetado para funcionar de maneira confiável e persistir mesmo após reinicializações. Isso o torna mais durável do que muitos golpes tradicionais.

Como os arquivos em si pertencem a um software legítimo, não há código malicioso que as ferramentas antivírus tradicionais possam detectar. Trata-se, na verdade, de uma situação em que o contexto é importante. Aqui, os golpistas estão usando indevidamente o software de monitoramento legítimo da Teramind, instalando-o sem consentimento em um dispositivo pessoal da vítima, sem o seu conhecimento.

O que fazer se você tiver sido afetado

Se você visitou uswebzoomus[.]com/zoom/ e um arquivo com o nome acima foi baixado:

Não abra.

Se você já o executou, considere seu dispositivo comprometido.

Verifique a pasta de instalação:

  1. Abra o Explorador de Arquivos.
  2. Navegue até C:\ProgramData.
  3. Procure uma pasta chamada {4CEC2908-5CE4-48F0-A717-8FC833D8017A}.

O ProgramData fica oculto por padrão. No Explorador de Arquivos, selecione Exibir e ative“Itens ocultos”.

Verifique se o serviço está em execução:

  1. Abra o Prompt de Comando como administrador.
  2. Tipo: sc query tsvchst
  3. Pressione Enter.

Se aparecer STATE: 4 RUNNING, o agente está ativo. Se o serviço não existir, ele não foi instalado usando a configuração padrão.

Altere as senhas de contas importantes — e-mail, banco e trabalho — em um dispositivo diferente e limpo.

Se isso ocorreu em um computador do trabalho, entre em contato com sua equipe de TI ou segurança imediatamente.

Para evitar ataques semelhantes no futuro:

  • Abra o Zoom diretamente a partir do aplicativo no seu dispositivo.
  • Digite zoom.us no seu navegador em vez de clicar em links inesperados.
  • Tenha cuidado com links que você não estava esperando especificamente.

Considerações finais

Há uma tendência discreta, mas crescente, de invasores abusarem e fazerem uso indevido de softwares comerciais legítimos. Ferramentas como o Teramind chegam a um computador e evitam a detecção por antivírus tradicionais, pois são legítimas e confiáveis, e essa credibilidade é exatamente o que as torna úteis para um agente mal-intencionado que as utiliza sem permissão.

Essa campanha cibercriminosa não se baseia em sofisticação técnica. Nenhuma nova técnica de hacking foi usada. O invasor criou uma página falsa convincente do Zoom, configurou um download automático para ser acionado antes que qualquer visitante tivesse motivos para suspeitar e usou uma tela falsa da Microsoft Store para explicar tudo. Do clique à instalação, leva menos de trinta segundos. Alguém que estivesse esperando um convite do Zoom e visse o que parecia ser uma instalação da Microsoft em andamento poderia facilmente sair acreditando que nada de anormal havia acontecido.

O Zoom é frequentemente falsificado porque as pessoas recebem links para reuniões por e-mail, mensagem de texto, Slack e convites de calendário — e clicam rapidamente. Levar cinco segundos para confirmar se um link realmente leva ao zoom.us é um hábito simples que pode evitar um problema grave.

Indicadores de Compromisso (IOCs)

Hashes de arquivo (SHA-256)

  • 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa

Domínios

  • uswebzoomus[.]com

ID da instância do Teramind

  • 941afee582cc71135202939296679e229dd7cced

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

Insetos
Logotipo Chrome

[atualizado] Google corrige duas Chrome que estavam sendo exploradas

Março 13, 2026

O Google lançou uma Chrome fora do ciclo normal Chrome para corrigir duas vulnerabilidades de dia zero que já estão sendo exploradas ativamente.

Golpes
Moeda Temu falsa

Os golpistas se passam pela Temu no golpe de airdrop $Temu no ClickFix

Março 13, 2026

Um falso airdrop da criptomoeda $TEMU usa o truque ClickFix para fazer com que as vítimas executem malware e instala silenciosamente um backdoor de acesso remoto.

Insetos
três iPhones

A Apple corrige falhas no kit de exploração Coruna para iOS mais antigas iOS

Março 12, 2026

A Apple lançou atualizações de segurança para versões mais antigas iOS iPadOS para corrigir vulnerabilidades exploradas pelo kit de exploração Coruna.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes