Golpes, Inteligência de Ameaças

Reunião falsa no Zoom com "atualização" instala silenciosamente versão não autorizada de ferramenta de monitoramento usada por cibercriminosos para espionar as vítimas

por Stefan Dasic | 24 de fevereiro de 2026
logótipo ampliado sobre um fundo que mostra um triângulo de aviso

ATUALIZAÇÃO (27 de fevereiro de 2026): Adicionamos mais clareza sobre o abuso de produtos comerciais legítimos.

ATUALIZAÇÃO (25 de fevereiro de 2026): A Teramind declarou que não tem qualquer ligação com os agentes de ameaças descritos e que não autorizou a implementação do software mencionado. Foram feitas atualizações adicionais ao longo do texto para esclarecimento.  

Um site falso de reuniões do Zoom está silenciosamente a instalar software de vigilância em Windows . Os visitantes chegam a uma imitação convincente de uma videochamada do Zoom. Momentos depois, uma contagem regressiva automática de «Atualização disponível» descarrega um instalador malicioso, sem pedir permissão.

A campanha fraudulenta empurra um instalador do Teramind, que é um produto legítimo e uma solução comercial de monitoramento da força de trabalho que as empresas usam para registrar o que os funcionários fazem nos computadores de trabalho, para vítimas inocentes. Nesta campanha cibercriminosa, no entanto, com a qual a Teramind não tem nenhuma afiliação, o programa abusado e alterado está sendo discretamente instalado nas máquinas de pessoas comuns que pensavam estar a participar de uma reunião.

Site falso do Zoom
Um site falso do Zoom

Toda a operação começa em uswebzoomus[.]com/zoom/, um site que abre como uma sala de espera do Zoom. No momento em que é carregado, ele envia discretamente uma mensagem aos atacantes, informando-os de que alguém chegou.

Três participantes falsos com guião — «Matthew Karlsson», «James Whitmore» e «Sarah Chen» — parecem entrar na chamada um por um, cada um anunciado por um sinal sonoro genuíno do Zoom. O áudio da conversa deles repete-se em loop no fundo.

A página se comporta de maneira diferente se ninguém interagir com ela. O áudio e a sequência da reunião só começam quando uma pessoa real clica ou digita. Ferramentas de segurança automatizadas que verificam páginas suspeitas sem interagir podem não detectar nada de anormal.

Um aviso permanente de «Problema de rede» é exibido sobre o mosaico principal do vídeo. Não se trata de uma falha: a página está programada para exibi-lo sempre. O áudio instável e o vídeo com atraso são totalmente deliberados e têm um objetivo psicológico específico. Um visitante que assiste a uma chamada com falhas naturalmente presumirá que há algo errado com a aplicação. Quando um aviso de «Atualização disponível» aparece momentos depois, parece que o problema foi resolvido.

A contagem regressiva que ninguém pediu

Dez segundos após o ecrã da reunião aparecer, uma janela pop-up aparece: «Atualização disponível — Uma nova versão está disponível para download.» Um indicador gira e um contador conta de cinco a zero. Não há botão para fechar.

A essa altura, o visitante já passou por uma chamada frustrante e cheia de falhas — e uma atualização de software é exatamente o que ele está pronto para querer. O pop-up não chega como uma surpresa, mas como uma resposta.

Quando o contador chega a zero, o navegador recebe a instrução de descarregar silenciosamente um ficheiro. No mesmo momento, a página muda para o que parece ser a Microsoft Store, mostrando o «Zoom Workplace» a meio da instalação, com o ícone a girar e tudo. Enquanto o visitante observa o que parece ser uma instalação legítima a resolver o problema, o instalador real já chegou à sua pasta de downloads — e não pediu permissão em nenhum momento.

Uma atualização do Zoom com o Teramind integrado

O ficheiro descarregado chama-se zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced) (1).msi. É um formato padrão Windows . A sua impressão digital única é 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa.

O próprio nome do ficheiro é revelador: a sequência s-i(__) copia a convenção de nomenclatura da Teramind para um instalador de instância furtiva, com o hash após ele identificando a conta específica da Teramind controlada pelo invasor à qual o agente se reportará.

A análise de segurança do conteúdo do ficheiro revelou dois trechos de texto particularmente reveladores escondidos dentro dele: versão do agente 26.3.3403 e um campo chamado IP do servidor ou nome do host. Esses campos confirmam que o instalador foi pré-configurado para se conectar a um servidor Teramind controlado pelo invasor.

O instalador é executado através Windows sem apresentar uma interface interativa típica de instalação para o consumidor. O alvo que está a ser configurado como alvo de vigilância não tem ideia do que está a acontecer.

Construído para ser invisível

Dentro dos ficheiros internos do instalador — notas deixadas pelo processo de desenvolvimento que normalmente só são vistas pelos autores do software — o nome da pasta  out stealth  aparece no caminho de compilação. Isso indica que os invasores configuraram o instalador usando a opção de implementação «modo furtivo» do Teramind, um recurso empresarial legítimo projetado para implementações de TI autorizadas, nas quais é necessário um agente invisível. No entanto, nesta campanha criminosa, esse recurso está a ser usado indevidamente para evitar a deteção nos dispositivos pessoais das vítimas.

Nesta versão do Windows , o MSI da Teramind nomeia por padrão o binário do agente como dwm.exe e instala-o em ProgramData\{GUID} diretório. Esse comportamento é documentado pelo fornecedor e pode ser alterado usando o TMAGENTEXE parâmetro do instalador.

Durante a instalação, o software é montado em etapas. Vários componentes do Teramind são descompactados em diretórios temporários durante a instalação. Esses ficheiros intermediários não são assinados individualmente, o que às vezes pode acionar ferramentas de segurança durante a análise. A cadeia de instalação primeiro confirma se o Teramind já está na máquina e, em seguida, recolhe o nome do computador, a conta de utilizador atual, o idioma do teclado e a localidade do sistema. Esses são os detalhes de que o Teramind precisa para identificar o dispositivo e começar a relatar a atividade para quem o implantou.

O agente está configurado para comunicar com uma instância remota do servidor Teramind, em conformidade com as implementações de monitorização empresarial.

Concebido para enganar as ferramentas que o detectariam

Um dos aspetos mais deliberados deste instalador é o quanto ele se esforça para evitar ser analisado. Os investigadores de segurança examinam softwares suspeitos em ambientes controlados de «sandbox» (essencialmente máquinas virtuais isoladas onde o software pode ser executado com segurança enquanto é observado). Este instalador foi criado para detectar exatamente essa situação e se comportar de maneira diferente.

Os indicadores de análise de tempo de execução sinalizam a presença de lógica de depuração e detecção de ambiente (DETECT_DEBUG_ENVIRONMENT). O instalador realiza verificações consistentes com a identificação de ambientes de análise ou sandbox e pode alterar o seu comportamento nessas condições.

Assim que a instalação estiver concluída, o instalador remove os seus ficheiros temporários e pastas de preparação. Isso significa que, quando alguém verificar a máquina, os vestígios óbvios do instalador já podem ter desaparecido. O agente de monitorização, no entanto, continua a ser executado em segundo plano.

O que torna esta campanha cibercriminosa excepcionalmente perigosa

A Teramind é um fornecedor de software legítimo cujo objetivo é cumprir uma função. As empresas pagam por ele para monitorizar os funcionários em dispositivos pertencentes à empresa: ele regista cada tecla digitada, tira capturas de ecrã em intervalos regulares, grava quais sites foram visitados e quais aplicações foram abertas, captura o conteúdo da área de transferência e rastreia a atividade de e-mails e ficheiros.

Num contexto corporativo — onde os funcionários são informados e existem políticas em vigor — isso é legal. Mas, neste caso, os cibercriminosos utilizam indevidamente a ferramenta Teramind e instalam secretamente o software em máquinas pessoais sem autorização.

Os atacantes não criaram um malware personalizado. Eles utilizaram um produto comercial desenvolvido profissionalmente, projetado para funcionar de forma confiável e persistir mesmo após reinicializações. Isso o torna mais durável do que muitos golpes tradicionais.

Como os ficheiros em si pertencem a um software legítimo, não há código malicioso que as ferramentas antivírus tradicionais possam detectar. Trata-se, antes, de uma situação em que o contexto é importante. Aqui, os burlões estão a utilizar indevidamente o software de monitorização legítimo da Teramind, instalando-o sem consentimento num dispositivo pessoal da vítima, sem o seu conhecimento.

O que fazer se tiver sido afetado

Se visitou uswebzoomus[.]com/zoom/ e um ficheiro com o nome acima foi descarregado:

Não abra.

Se já o executou, considere o seu dispositivo comprometido.

Verifique a pasta de instalação:

  1. Abra o Explorador de Ficheiros.
  2. Navegue até C:\ProgramData.
  3. Procure uma pasta chamada {4CEC2908-5CE4-48F0-A717-8FC833D8017A}.

O ProgramData está oculto por predefinição. No Explorador de ficheiros, selecione Exibir e ative«Itens ocultos».

Verifique se o serviço está em execução:

  1. Abra o Prompt de Comando como administrador.
  2. Tipo: sc query tsvchst
  3. Pressione Enter.

Se aparecer STATE: 4 RUNNING, o agente está ativo. Se o serviço não existir, ele não foi instalado usando a configuração padrão.

Altere as palavras-passe de contas importantes — e-mail, banco e trabalho — a partir de um dispositivo diferente e limpo.

Se isso aconteceu num computador do trabalho, contacte imediatamente a sua equipa de TI ou de segurança.

Para evitar ataques semelhantes no futuro:

  • Abra o Zoom diretamente a partir da aplicação no seu dispositivo.
  • Digite zoom.us no seu navegador em vez de clicar em links inesperados.
  • Tenha cuidado com links que não estava especificamente à espera.

Considerações finais

Existe uma tendência discreta, mas crescente, de atacantes abusarem e utilizarem indevidamente software comercial legítimo. Ferramentas como o Teramind chegam a um computador e evitam a detecção por ferramentas antivírus tradicionais, pois são legítimas e confiáveis, e essa credibilidade é exatamente o que as torna úteis para um agente mal-intencionado que as implementa sem permissão.

Esta campanha cibercriminosa não se baseia em sofisticação técnica. Nenhuma nova técnica de hacking foi utilizada. O invasor criou uma página falsa convincente do Zoom, configurou um download automático para ser acionado antes que qualquer visitante tivesse motivos para suspeitar e utilizou uma tela falsa da Microsoft Store para explicar tudo. Do clique à instalação, leva menos de trinta segundos. Alguém que estivesse à espera de um convite do Zoom e visse o que parecia ser uma instalação da Microsoft em andamento poderia facilmente sair acreditando que nada de anormal havia acontecido.

O Zoom é frequentemente falsificado porque as pessoas recebem links para reuniões por e-mail, mensagem de texto, Slack e convites de calendário — e clicam rapidamente. Dedicar cinco segundos para confirmar se um link realmente leva ao zoom.us é um hábito simples que pode evitar um problema grave.

Indicadores de compromisso (IOCs)

Hashes de ficheiros (SHA-256)

  • 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa

Domínios

  • uswebzoomus[.]com

ID da instância Teramind

  • 941afee582cc71135202939296679e229dd7cced

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Fraudes
Site falso do Pudgy World

O site falso «Pudgy World» rouba as suas palavras-passe de criptomoedas

março 17, 2026

O site de phishing não está associado à Igloo Inc. nem aos Pudgy Penguins, mas foi concebido para atrair fãs e roubar as suas palavras-passe de criptomoedas.

Telemóvel
Um cavalo de Tróia sobre rodas invade o ecrã de um smartphone

O Google toma medidas contra Android que abusam das funcionalidades de acessibilidade

março 17, 2026

Há anos que o malware tem vindo a abusar das funcionalidades de acessibilidade Android. A Google acaba de tornar isso muito mais difícil.

Privacy
Sites comprometidos

Sites pirateados distribuem o Vidar, um programa de roubo de informações, aos Windows

março 16, 2026

Encontrámos páginas falsas do tipo «verifique se é humano» em sites WordPress pirateados que induzem Windows a instalar o programa de roubo de informações Vidar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes