Em 24 de fevereiro de 2026, publicamos um artigo sobre como umafalsa “atualização” da Zoom instala silenciosamente um software de monitoramento, documentando uma campanha que usava uma sala de espera falsa e convincente da Zoom para enviar um instalador legítimo da Teramind, usado indevidamente para vigilância não autorizada em Windows . A Teramind declarou que não tem nenhuma afiliação com os agentes de ameaças descritos, não implantou o software mencionado e condena qualquer uso não autorizado de tecnologias comerciais de monitoramento.
Após a publicação de nossas descobertas, o domínio malicioso foi denunciado ao seu registrador de nomes de domínio, Namecheap, que confirmou a suspensão do serviço. Apesar da remoção, nosso monitoramento contínuo mostra que a campanha não só continua ativa, como também está crescendo: identificamos agora uma operação paralela se passando pelo Google Meet, operando a partir de um domínio e infraestrutura diferentes.
Neste artigo, forneceremos uma análise técnica mais aprofundada sobre ambas as variantes, catalogando o uso de IDs de instância Teramind por golpistas que observamos diretamente ou coletamos de repositórios sandbox, documentaremos nossa detonação prática do instalador em um ambiente controlado e responderemos a uma pergunta que surgiu durante nossa pesquisa: Como um único pacoteWindows idêntico pode servir a várias contas de invasores diferentes?
A campanha se expande para o Google Meet
Embora o site original com o tema Zoom em uswebzoomus[.]com foi retirado do ar pela Namecheap após denúncias da comunidade, um segundo site em googlemeetinterview[.]click está implantando ativamente a mesma carga útil usando um manual idêntico adaptado para o Google Meet.
A variante do Google Meet apresenta uma página falsa da Microsoft Store com a marca “Google Meet for Meetings” publicada pela “Google Meet Video Communications, Inc”, que é uma entidade fictícia. Um botão “Iniciando download...” é exibido enquanto o arquivo MSI é silenciosamente entregue através do caminho /Windows/download.php. A página de referência é /Windows/microsoft-store.php, confirmando que a tela falsa da Microsoft Store é fornecida pela infraestrutura do invasor, e não pela Microsoft.
Nossa captura de tráfego do Fiddler da variante do Google Meet mostra o cabeçalho de resposta:
Content-Disposition: attachment; filename="teramind_agent_x64_s-i(__06a23f815bc471c82aed60b60910b8ec1162844d).msi".
Ao contrário da variante Zoom, em que o nome do arquivo era disfarçado como um componente do Zoom, essa variante nem mesmo tenta ocultar o uso do Teramind pelo golpista no nome do arquivo. Verificamos que ambos os arquivos são idênticos byte por byte (MD5: AD0A22E393E9289DEAC0D8D95D8118B5), confirmando que um único binário está sendo usado em ambas as campanhas, com apenas o nome do arquivo alterado.
Diferenças de infraestrutura entre as variantes
Apesar de usarem a mesma carga útil, as duas variantes estão hospedadas em infraestruturas diferentes. A variante Zoom em uswebzoomus[.]com rodou no Apache/2.4.58 (Ubuntu) e foi registrado através do Namecheap em 16/02/2026. A variante do Google Meet em googlemeetinterview[.]click é executado em um servidor LiteSpeed.
Ambos servem o download por meio de scripts PHP e usam o mesmo padrão falso de redirecionamento da Microsoft Store, mas a mudança no servidor web e no registrador de domínios sugere que o operador antecipou as remoções e posicionou previamente uma infraestrutura de fallback.
Um binário, muitas identidades. Como o instalador lê seu próprio nome de arquivo
Durante nossa investigação, identificamos 14 nomes de arquivos MSI distintos que compartilhavam o mesmo hash SHA-256. Destes, dois foram capturados diretamente de infraestruturas maliciosas por meio de nossa análise de domínios de malware: a variante Zoom do uswebzoomus[.]com e a variante Google Meet do googlemeetinterview[.]click. Os demais nomes de arquivos foram obtidos de repositórios de sandbox.
É importante observar que alguns desses nomes de arquivos originários da sandbox podem representar implantações corporativas legítimas do Teramind, em vez de atividades maliciosas. O Teramind é um produto comercial com casos de uso empresarial legítimos, e os arquivos enviados aos serviços de sandbox não indicam necessariamente abuso. No entanto, todos eles compartilham o mesmo binário e demonstram o mesmo mecanismo de configuração baseado em nome de arquivo.
Todos os arquivos compartilham o mesmo hash SHA-256: 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425faIsso levantou uma questão imediata: se o ID da instância do Teramind muda com cada nome de arquivo, mas o binário é idêntico byte por byte, onde o ID é realmente armazenado?
A resposta está em uma ação personalizada .NET incorporada ao MSI. Nossa análise comportamental revela a seguinte sequência:
Calling custom action Teramind.Setup.Actions!Teramind.Setup.Actions.CustomActions.ReadPropertiesFromMsiName
PROPERTY CHANGE: Modifying TMINSTANCE property. Its current value is 'onsite'. Its new value: '__941afee582cc71135202939296679e229dd7cced'.
PROPERTY CHANGE: Adding TMROUTER property. Its value is 'rt.teramind.co'.
O MSI vem com um padrão TMINSTANCE valor de onsite. Esta é a configuração padrão do Teramind no local. No momento da instalação, o ReadPropertiesFromMsiName A ação personalizada analisa o nome do arquivo do próprio instalador, extrai a sequência hexadecimal de 40 caracteres do s-i(__) parte e substitui o padrão pelo ID de instância específico do invasor.
O log também mostra a mensagem Failed to get router from msi name— o que significa que o instalador tentou extrair um endereço de servidor C2 do nome do arquivo, mas não conseguiu. Nesse caso, ele recorre ao valor padrão. rt.teramind.co, que está pré-configurado dentro do MSI. No entanto, TMROUTER é uma propriedade MSI exposta, o que significa que pode ser substituída no momento da instalação ou alterada em uma compilação diferente. O nome do arquivo nesta campanha contém apenas o ID da instância; o destino C2 é determinado pela configuração padrão do MSI.
Detonação ao vivo: o que o instalador realmente faz em um sistema real
Para ir além da análise comportamental baseada em sandbox, detonamos o instalador MSI em uma máquina virtual Windows isolada com registro MSI detalhado habilitado, ApateDNS para interceptação de DNS e Fiddler para monitoramento de rede. Essa análise prática revelou vários comportamentos críticos não visíveis nos relatórios automatizados da sandbox.
Cadeia de instalação e o gate CheckHosts
O instalador MSI avança por quatro ações personalizadas .NET em sequência, todas executadas por meio do WiX Toolset. zzzzInvokeManagedCustomActionOutOfProc mecanismo:
- LerPropriedadesDoNomeMsi: Analisa o nome do arquivo do MSI para extrair o ID da instância do Teramind e substitui o padrão.
onsitevalor - CheckAgent:Determina se um agente Teramind já está instalado na máquina.
- ValidateParams:Valida os parâmetros de configuração extraídos.
- Verificar hosts: Realiza uma verificação de conectividade pré-voo com o servidor C2.
rt.teramind.co
O CheckHosts A ação é um obstáculo difícil: se o instalador não conseguir acessar o servidor Teramind, a instalação será abortada com o código de erro 1603. Nossa tentativa inicial de detonação em uma VM isolada da rede falhou exatamente nesse ponto:
TM: TMINSTANCE = __941afee582cc71135202939296679e229dd7cced
TM: TMROUTER = rt.teramind.co
CustomAction CheckHosts returned actual error code 1603
Esse comportamento é significativo por dois motivos. Primeiro, ele revela o endereço do servidor C2: rt.teramind.co. Em segundo lugar, isso significa que as vítimas em redes corporativas com DNS restritivo ou filtragem de saída podem ser inadvertidamente protegidas. O instalador falhará silenciosamente se não conseguir se comunicar com o servidor durante a instalação. No entanto, o MSI oferece suporte a um TMSKIPSRVCHECK propriedade que pode ignorar essa verificação, e seu valor padrão é no.
Para completar nossa análise, adicionamos rt.teramind.co ao arquivo Windows apontando para localhost, permitindo que a resolução DNS fosse bem-sucedida e a ação CheckHosts fosse aprovada. A instalação foi então concluída com sucesso.
Modo furtivo confirmado
O log de instalação bem-sucedida confirma o que o artigo original suspeitava: o modo furtivo do Teramind (chamado Hidden Agent, uma opção de implantação que é executada silenciosamente em segundo plano) está habilitado por padrão nesta compilação. O dump de propriedades MSI mostra:
Property(S): TMSTEALTH = 1
Isso confirma que o agente é instalado sem ícone na barra de tarefas, sem entrada na bandeja do sistema e sem entrada visível na lista Windows . A vítima não tem nenhuma indicação visual de que o software de monitoramento está em execução.
Dois serviços, não um
O log de instalação revela que a campanha implanta dois serviços persistentes, e não apenas o documentado em nosso artigo original:
| Nome do serviço | Nome de exibição | Binário | Tipo de início |
|---|---|---|---|
| tsvchst | Anfitrião de Serviço | svc.exe –serviço | Automático (inicialização) |
| pmon | Monitor de Desempenho | pmon.exe | Manual (sob demanda) |
Ambos os nomes dos serviços foram escolhidos para se integrarem: tsvchst imita o Windows legítimo svchost.exe padrão de nomenclatura, enquanto pmon com o nome de exibição “Monitor de Desempenho” imita o Monitor Windows integrado Windows . Ambos são executados como LocalSystem, o nível de privilégio mais alto em uma Windows .
Ambos os serviços são configurados com recuperação agressiva de falhas: reinício na primeira falha, reinício na segunda falha e reinício nas falhas subsequentes, com atrasos de 160 segundos (tsvchst) e 130 segundos (pmon). Isso significa que, mesmo que um usuário ou ferramenta de segurança encerre o serviço, ele será reiniciado automaticamente em poucos minutos.
Retorno de chamada C2 ao vivo observado
Imediatamente após a instalação, o ApateDNS capturou o agente ligando para casa. Consultas DNS para rt.teramind.co apareceu segundos após o início do serviço, confirmando que o agente inicia seu ciclo de retorno de chamada imediatamente. As consultas se repetiram em intervalos de aproximadamente 11 segundos, mostrando um padrão de pesquisa persistente.
Em um cenário real, em que a vítima tem conexão com a Internet, esses dados seriam encaminhados para a infraestrutura da Teramind e o agente começaria a transmitir os dados capturados.
Superfície de configuração MSI completa
O log de instalação detalhado expõe todos os parâmetros configuráveis que o MSI suporta por meio de seu SecureCustomProperties lista. Isso revela toda a superfície de configuração do instalador:
TMSTEALTH— Modo furtivo (definido como 1 nesta versão)
TMINSTANCE— Identificador da conta (extraído do nome do arquivo)
TMROUTER— Endereço do servidor C2 (codificado como rt.teramind.co)
TMENCRYPTION— Alternância da criptografia de comunicação C2
TMSOCKSHOST / TMSOCKSPORT / TMSOCKSUSER / TMSOCKSPASSWORD— Suporte integrado ao proxy SOCKS5 para tunelamento de tráfego C2 através de proxies
TMHTTPPROXY— Suporte a proxy HTTP
TMSKIPSRVCHECK— Ignorar a verificação pré-voo da conectividade C2
TMNODRV / TMNOFSDRV— Desativar drivers de filtro do kernel
TMNOIPCCLIPBOARD— Alternar monitoramento da área de transferência
TMNOREMOTETS— Alternância do monitoramento remoto dos serviços do terminal
TMHASHUSERNAMES— Anonimizar/hash nomes de usuário capturados
TMDISABLESCREEN— Desativar captura de tela
TMADDENTRYTOARP— Adicionar/remover entrada em Adicionar/Remover Programas (desativado em modo oculto)
TMCRASHUPLOADURL— Ponto final de upload de telemetria de falhas
TMREVEALEDPASSWORDLESS— Alternar para a funcionalidade de revelação sem senha
O suporte ao proxy SOCKS5 é particularmente digno de nota. Isso significa que o agente pode ser configurado para encaminhar todos os dados de vigilância através de um proxy controlado pelo invasor, tornando a detecção em nível de rede significativamente mais difícil, ao disfarçar o tráfego C2 como tráfego proxy legítimo.
IDs de instâncias Teramind observadas
A tabela a seguir lista todos os nomes de arquivos MSI e os IDs de instância Teramind correspondentes que coletamos. Dentre eles, dois foram observados diretamente em campo por meio de nossa própria análise de domínios de malware: a variante Zoom (941afee…7cced, capturada em uswebzoomus[.]com) e a variante Google Meet (06a23f8…2844d, capturada em googlemeetinterview[.]click). Os demais nomes de arquivos foram obtidos de repositórios de sandbox.
Conforme observado acima, alguns deles podem representar implantações empresariais legítimas, em vez de uso malicioso. Todos os arquivos compartilham o mesmo hash SHA-256. Dois nomes de arquivo compartilham o mesmo ID de instância c0cea71…0a6d7, indicando que a mesma conta de invasor foi usada em várias variações de nomes de arquivo.
| Nome do arquivo MSI | ID da instância |
|---|---|
zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced).msi | 941afee582cc71135202939296679e229dd7cced |
ZoomApp_agent_x64_s-i(__fca21db2bb0230ee251a503b021fe02d2114d1f0).msi | fca21db2bb0230ee251a503b021fe02d2114d1f0 |
945bd48ad7552716f4583_s-i(__d72c88943945bd48ad7552716f4583ada0b7c2a6).msi | d72c88943945bd48ad7552716f4583ada0b7c2a6 |
teramind_agent_x64_s-i(__572d85bb94f4f59ef947c3faf42677f9adb223c3).msi | 572d85bb94f4f59ef947c3faf42677f9adb223c3 |
file_agent_x64_s-i(__f76fee1df21e19d93d5842f50c375286477b3f6c).msi | f76fee1df21e19d93d5842f50c375286477b3f6c |
teramind_agent_x64_s-i(__653d105a51cc886dede8101d1b0cd02e20329546).msi | 653d105a51cc886dede8101d1b0cd02e20329546 |
e411293f92e8730f717_s-i(__c0cea713de411293f92e8730f71759aa1890a6d7).msi | c0cea713de411293f92e8730f71759aa1890a6d7 |
0154299765aa7b198bce97d8361_s-i(__c0cea713de411293f92e8730f71759aa1890a6d7).msi | c0cea713de411293f92e8730f71759aa1890a6d7 |
GoogleMeet_agent_x64_s-i(__ab28818c0806ce7996c10c59b0e4e5d102783461).msi | ab28818c0806ce7996c10c59b0e4e5d102783461 |
teramind_agent_x64_s-i(__5ca3d9dd35249200363946b1f007b59f88dbde39).msi | 5ca3d9dd35249200363946b1f007b59f88dbde39 |
file_agent_x64_s-i(__81c39bed817fc9989834c81352cb7f69b94342da).msi | 81c39bed817fc9989834c81352cb7f69b94342da |
GoogleMeet_agent_x64_s_i_94120be3942474019852c62041d2f373fdb11a0e.msi | 94120be3942474019852c62041d2f373fdb11a0e |
AdobeReader_agent_x64_s-i(__d57d34e76cc8c2c883cbdcb42a14c47d00be03c0).msi | d57d34e76cc8c2c883cbdcb42a14c47d00be03c0 |
teramind_agent_x64_s-i(__06a23f815bc471c82aed60b60910b8ec1162844d).msi | 06a23f815bc471c82aed60b60910b8ec1162844d |
A variedade de prefixos de nomes de arquivos é notável: zoom_agent, ZoomApp_agent, GoogleMeet_agent, AdobeReader_agent, teramind_agent, e file_agentIsso sugere que a campanha vai além da falsificação de identidade em videoconferências.
No entanto, a variante com a marca AdobeReader foi encontrada apenas em repositórios sandbox e pode representar um teste ou uma expansão planejada, em vez de uma implantação ativa. Os nomes de arquivos com prefixos genéricos, como teramind_agent e file_agent, também parecem ser envios sandbox que mantiveram a nomenclatura padrão, em vez de uma isca de engenharia social específica da marca.
Indicadores de comprometimento
Hashes de arquivo
SHA-256: 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa
MD5: AD0A22E393E9289DEAC0D8D95D8118B5
Domínios
- uswebzoomus[.]com (variante do Zoom: removida pela Namecheap)
- googlemeetinterview[.]click (variante do Google Meet: ativa desde 26/02/2026)
Recomendações de detecção e defesa
- Alerta no diretório GUID do ProgramData
{4CEC2908-5CE4-48F0-A717-8FC833D8017A}Este GUID é fixo em todas as variantes observadas.
- Consulta para ambos os serviços:
sc query tsvchstesc query pmon. A execução em uma máquina não corporativa confirma a vigilância ativa.
- Fique atento às cargas do driver do kernel:
tm_filter.sysetmfsdrv2.sysO carregamento em máquinas pessoais deve acionar alertas de alta gravidade.
- Bloqueie a execução do MSI a partir dos diretórios de download do navegador. Ambas as variantes dependem de o usuário executar um MSI a partir da pasta Downloads. As políticas de controle de aplicativos que impedem a execução do MSI a partir de caminhos graváveis pelo usuário impediriam essa cadeia de ataques.
- Eduque os funcionários: nunca atualize aplicativos clicando em links em mensagens. Use o mecanismo de atualização integrado ao aplicativo ou navegue manualmente até o site oficial do fornecedor.
- Implemente políticas de navegadorque avisem ou bloqueiem downloads automáticos de arquivos de domínios não reconhecidos.
Remoção
Para desinstalar o agente, execute o seguinte comando como Administrador: msiexec /x {4600BEDB-F484-411C-9861-1B4DD6070A23} /qb. Isso remove os serviços, drivers do kernel e a maioria dos arquivos instalados. No entanto, nossos testes confirmaram que o desinstalador não consegue excluir totalmente o diretório ProgramData devido aos arquivos gerados em tempo de execução. Após a desinstalação, remova manualmente quaisquer resquícios com rmdir /s /q "C:\ProgramData\{4CEC2908-5CE4-48F0-A717-8FC833D8017A}" e reinicie para descarregar completamente os drivers do kernel da memória.
Conclusão
Esta campanha demonstra o abuso de software de monitoramento comercial legítimo. Os invasores não criaram um malware personalizado. Em vez disso, eles pegaram um produto de monitoramento pronto para uso, aproveitaram seu modo furtivo integrado e seu sistema de configuração baseado em nomes de arquivos e o envolveram em uma engenharia social projetada para explorar a confiança em marcas como Zoom e Google Meet.
A expansão para o Google Meet, além de variantes adicionais originadas da sandbox, incluindo um nome de arquivo com a marca AdobeReader, sugere que esta é uma operação em evolução que pode se expandir para se passar por outros aplicativos.
Nossa detonação prática revelou detalhes invisíveis para sandboxes automatizadas: o CheckHosts Portão de embarque C2, o rt.teramind.co endereço do roteador, o segundo pmon serviço mascarado como Monitor de Desempenho, o confirmado TMSTEALTH = 1 flag e a capacidade completa do proxy SOCKS5 para evasão C2. O fato de um único binário servir contas ilimitadas de invasores através de nada mais do que uma renomeação de nome de arquivo torna esta campanha facilmente escalável.
Agradecimentos
Gostaríamos de agradecer ao pesquisador de segurança @JAMESWT_WT por ter prontamente relatado o domínio malicioso original à Namecheap, levando à remoção do mesmo. uswebzoomus[.]com.
A Teramind declarou que a empresa não esteve envolvida nesta campanha. Como a Teramind é um produto comercial legítimo, não é sinalizada por softwares de segurança, o que significa que não temos visibilidade sobre se esta campanha resultou em infecções no mundo real. O que podemos confirmar é que a infraestrutura que documentamos — incluindo domínios de phishing criados especificamente para se passar pelo Zoom e pelo Google Meet, páginas falsas da Microsoft Store e um agente Teramind configurado no modo furtivo — é consistente com uma campanha projetada para implantar software de monitoramento nas máquinas dos alvos sem o seu conhecimento ou consentimento.
