Golpes, Inteligência de Ameaças

Reunião falsa no Zoom “atualização” instala silenciosamente software de vigilância

por Stefan Dasic | 24 de fevereiro de 2026
logotipo ampliado sobre um fundo que mostra um triângulo de advertência

Um site falso de reuniões do Zoom está silenciosamente instalando um software de vigilância em Windows . Os visitantes acessam uma imitação convincente de uma videochamada do Zoom. Momentos depois, uma contagem regressiva automática de “Atualização disponível” baixa um instalador malicioso, sem pedir permissão.

O software que está sendo instalado é uma versão oculta do Teramind, uma ferramenta comercial de monitoramento que as empresas utilizam para registrar as atividades dos funcionários nos computadores de trabalho. Nesta campanha, ele está sendo discretamente instalado nos computadores de pessoas comuns que pensavam estar participando de uma reunião.

Site falso do Zoom
Um site falso do Zoom

Toda a operação começa em uswebzoomus[.]com/zoom/, um site que abre como uma sala de espera do Zoom. No momento em que é carregado, ele envia discretamente uma mensagem aos invasores, informando-os de que alguém chegou.

Três participantes falsos com roteiro — “Matthew Karlsson”, “James Whitmore” e “Sarah Chen” — parecem entrar na chamada um por um, cada um anunciado por um sinal sonoro genuíno do Zoom. O áudio da conversa deles é repetido em loop no fundo.

A página se comporta de maneira diferente se ninguém interagir com ela. O áudio e a sequência da reunião só começam quando uma pessoa real clica ou digita. Ferramentas de segurança automatizadas que verificam páginas suspeitas sem interagir podem não detectar nada de anormal.

Um aviso permanente de “Problema de rede” é exibido sobre o bloco de vídeo principal. Não se trata de uma falha: a página foi programada para exibi-lo sempre. O áudio instável e o vídeo com atraso são totalmente deliberados e têm um objetivo psicológico específico. Um visitante que assiste a uma chamada com falhas naturalmente presumirá que há algo errado com o aplicativo. Quando um aviso de “Atualização disponível” aparece momentos depois, parece que o problema foi corrigido.

A contagem regressiva que ninguém pediu

Dez segundos após a tela da reunião aparecer, uma janela pop-up é exibida: “Atualização disponível — Uma nova versão está disponível para download”. Um indicador gira e um contador conta de cinco a zero. Não há botão para fechar.

A essa altura, o visitante já passou por uma ligação frustrante e cheia de falhas — e uma atualização de software é exatamente o que ele está esperando. O pop-up não surge como uma surpresa, mas como uma resposta.

Quando o contador chega a zero, o navegador recebe a instrução de baixar um arquivo silenciosamente. No mesmo momento, a página muda para o que parece ser a Microsoft Store, mostrando o “Zoom Workplace” em meio à instalação, girando e tudo mais. Enquanto o visitante assiste ao que parece ser uma instalação legítima resolvendo o problema, o instalador real já foi parar na pasta Downloads — e não pediu permissão em nenhum momento.

Uma atualização do Zoom com o Teramind integrado

O arquivo baixado é chamado zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced) (1).msi. É um formato padrão Windows . Sua impressão digital exclusiva é 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa.

O próprio nome do arquivo é revelador: a string s-i(__) é a convenção de nomenclatura da Teramind para um instalador de instância oculta, com o hash após ele identificando a conta Teramind específica controlada pelo invasor à qual o agente se reportará.

A análise de segurança do conteúdo do arquivo revelou dois trechos de texto particularmente reveladores escondidos dentro dele: versão do agente 26.3.3403 e um campo chamado IP do servidor ou nome do host. Esses campos confirmam que o instalador foi pré-configurado para se conectar a um servidor Teramind controlado pelo invasor.

O instalador é executado através Windows sem apresentar uma interface interativa típica de instalação para o consumidor. O alvo que está sendo configurado como alvo de vigilância não tem ideia do que está acontecendo.

Construído para ser invisível

Dentro dos arquivos internos de compilação do instalador — notas deixadas pelo processo de desenvolvimento que normalmente só são vistas pelos autores do software — o nome da pasta out_stealth aparece no caminho de compilação. Isso não é uma coincidência. A Teramind comercializa uma opção de implantação dedicada em “modo furtivo”, projetada especificamente para que o agente seja executado sem presença visível: sem ícone na barra de tarefas, sem entrada na bandeja do sistema, sem rastro na lista de programas instalados.

Nesta versão do Windows , o MSI da Teramind nomeia por padrão o binário do agente como dwm.exe e instala-o em ProgramData\{GUID} diretório. Esse comportamento é documentado pelo fornecedor e pode ser alterado usando o TMAGENTEXE parâmetro do instalador.

Durante a instalação, o software se monta em etapas. Vários componentes do Teramind são descompactados em diretórios temporários durante a instalação. Esses arquivos intermediários não são assinados individualmente, o que às vezes pode acionar ferramentas de segurança durante a análise. A cadeia de instalação primeiro confirma se o Teramind já está na máquina e, em seguida, coleta o nome do computador, a conta de usuário atual, o idioma do teclado e a localidade do sistema. Esses são os detalhes de que o Teramind precisa para identificar o dispositivo e começar a relatar a atividade para quem o implantou.

O agente está configurado para se comunicar com uma instância remota do servidor Teramind, em conformidade com as implantações de monitoramento empresarial.

Projetado para enganar as ferramentas que o detectariam

Um dos aspectos mais deliberados deste instalador é o quanto ele se esforça para evitar ser analisado. Os pesquisadores de segurança examinam softwares suspeitos em ambientes controlados chamados “sandbox” (essencialmente máquinas virtuais isoladas onde o software pode ser executado com segurança enquanto é observado). Este instalador foi criado para detectar exatamente essa situação e se comportar de maneira diferente.

Os sinalizadores de análise de tempo de execução indicam a presença de lógica de depuração e detecção de ambiente (DETECT_DEBUG_ENVIRONMENTO instalador realiza verificações consistentes com a identificação de ambientes de análise ou sandbox e pode alterar seu comportamento nessas condições.

Assim que a instalação for concluída, o instalador remove seus arquivos temporários e pastas de preparação. Isso significa que, quando alguém verificar a máquina, os traços óbvios do instalador já podem ter desaparecido. O agente de monitoramento, no entanto, continua sendo executado em segundo plano.

Por que a Teramind torna esta campanha excepcionalmente perigosa

O Teramind é um produto legítimo. As empresas pagam por ele para monitorar os funcionários em dispositivos pertencentes à empresa: ele registra cada tecla digitada, captura imagens da tela em intervalos regulares, registra quais sites foram visitados e quais aplicativos foram abertos, captura o conteúdo da área de transferência e rastreia atividades de e-mail e arquivos.

Em um contexto corporativo, com funcionários informados e políticas em vigor, isso é legal. Essa mesma capacidade, instalada secretamente em um computador pessoal, é algo totalmente diferente.

Os invasores não criaram um malware personalizado. Eles implantaram um produto comercial desenvolvido profissionalmente, projetado para funcionar de maneira confiável e persistir mesmo após reinicializações. Isso o torna mais durável do que muitas variedades tradicionais de malware.

Como os arquivos em si pertencem a softwares legítimos, as ferramentas antivírus tradicionais, que procuram apenas códigos maliciosos conhecidos, podem não identificá-los. O contexto é importante. Quando um software de monitoramento é instalado sem consentimento em um dispositivo pessoal, ele se enquadra na categoria frequentemente descrita como stalkerware — software usado para monitorar alguém sem o seu conhecimento.

O que fazer se você tiver sido afetado

Se você visitou uswebzoomus[.]com/zoom/ e um arquivo com o nome acima foi baixado:

Não abra.

Se você já o executou, considere seu dispositivo comprometido.

Verifique a pasta de instalação:

  1. Abra o Explorador de Arquivos.
  2. Navegue até C:\ProgramData.
  3. Procure uma pasta chamada {4CEC2908-5CE4-48F0-A717-8FC833D8017A}.

O ProgramData fica oculto por padrão. No Explorador de Arquivos, selecione Exibir e ative“Itens ocultos”.

Verifique se o serviço está em execução:

  1. Abra o Prompt de Comando como administrador.
  2. Tipo: sc query tsvchst
  3. Pressione Enter.

Se aparecer STATE: 4 RUNNING, o agente está ativo. Se o serviço não existir, ele não foi instalado usando a configuração padrão.

Altere as senhas de contas importantes — e-mail, banco e trabalho — em um dispositivo diferente e limpo.

Se isso ocorreu em um computador do trabalho, entre em contato com sua equipe de TI ou segurança imediatamente.

Para evitar ataques semelhantes no futuro:

  • Abra o Zoom diretamente a partir do aplicativo no seu dispositivo.
  • Digite zoom.us no seu navegador em vez de clicar em links inesperados.
  • Tenha cuidado com links que você não estava esperando especificamente.

Considerações finais

Há uma tendência discreta, mas crescente, de invasores recorrerem a softwares comerciais legítimos em vez de criarem os seus próprios. Ferramentas como o Teramind chegam a um computador com a credibilidade de um produto de uma empresa real — e essa credibilidade é exatamente o que as torna úteis para alguém que as utiliza sem permissão.

Esta campanha não depende de sofisticação técnica. Nenhuma nova técnica de hacking foi usada. O invasor criou uma página falsa convincente do Zoom, configurou um download automático para ser acionado antes que qualquer visitante tivesse motivos para suspeitar e usou uma tela falsa da Microsoft Store para explicar tudo. Do clique à instalação, leva menos de trinta segundos. Alguém que estivesse esperando um convite do Zoom e visse o que parecia ser uma instalação da Microsoft em andamento poderia facilmente sair acreditando que nada de anormal havia acontecido.

O Zoom é frequentemente falsificado porque as pessoas recebem links para reuniões por e-mail, mensagem de texto, Slack e convites de calendário — e clicam rapidamente. Levar cinco segundos para confirmar se um link realmente leva ao zoom.us é um hábito simples que pode evitar um problema grave.

Indicadores de Compromisso (IOCs)

Hashes de arquivo (SHA-256)

  • 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa

Domínios

  • uswebzoomus[.]com

ID da instância do Teramind

  • 941afee582cc71135202939296679e229dd7cced

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

IA
Logotipo da OpenClaw

OpenClaw: O que é e você pode usá-lo com segurança?

Fevereiro 23, 2026

O OpenClaw é um tema muito em voga atualmente. Mas o que é e como você pode usar o assistente de IA 24 horas por dia, 7 dias por semana, de maneira segura?

Notícias
lembrar senhas

Os gerenciadores de senhas mantêm suas senhas seguras, a menos que...

Fevereiro 23, 2026

Pesquisadores investigaram as alegações de conhecimento zero dos gerenciadores de senhas e encontraram alguns cenários possíveis de ataque.

Notícias
semana em segurança

Uma semana em segurança (16 a 22 de fevereiro)

Fevereiro 23, 2026

Lista de tópicos abordados na semana de 16 a 22 de fevereiro de 2026

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes