Golpes, Inteligência de Ameaças

Falsa "atualização" da reunião do Zoom instala silenciosamente software de vigilância

por Stefan Dasic | 24 de fevereiro de 2026
logótipo ampliado sobre um fundo que mostra um triângulo de aviso

Um site falso de reuniões do Zoom está silenciosamente a instalar software de vigilância em Windows . Os visitantes chegam a uma imitação convincente de uma videochamada do Zoom. Momentos depois, uma contagem regressiva automática de «Atualização disponível» descarrega um instalador malicioso, sem pedir permissão.

O software que está a ser instalado é uma versão oculta do Teramind, uma ferramenta de monitorização comercial que as empresas utilizam para registar o que os funcionários fazem nos computadores de trabalho. Nesta campanha, ele está a ser discretamente instalado nos computadores de pessoas comuns que pensavam estar a participar numa reunião.

Site falso do Zoom
Um site falso do Zoom

Toda a operação começa em uswebzoomus[.]com/zoom/, um site que abre como uma sala de espera do Zoom. No momento em que é carregado, ele envia discretamente uma mensagem aos atacantes, informando-os de que alguém chegou.

Três participantes falsos com guião — «Matthew Karlsson», «James Whitmore» e «Sarah Chen» — parecem entrar na chamada um por um, cada um anunciado por um sinal sonoro genuíno do Zoom. O áudio da conversa deles repete-se em loop no fundo.

A página se comporta de maneira diferente se ninguém interagir com ela. O áudio e a sequência da reunião só começam quando uma pessoa real clica ou digita. Ferramentas de segurança automatizadas que verificam páginas suspeitas sem interagir podem não detectar nada de anormal.

Um aviso permanente de «Problema de rede» é exibido sobre o mosaico principal do vídeo. Não se trata de uma falha: a página está programada para exibi-lo sempre. O áudio instável e o vídeo com atraso são totalmente deliberados e têm um objetivo psicológico específico. Um visitante que assiste a uma chamada com falhas naturalmente presumirá que há algo errado com a aplicação. Quando um aviso de «Atualização disponível» aparece momentos depois, parece que o problema foi resolvido.

A contagem regressiva que ninguém pediu

Dez segundos após o ecrã da reunião aparecer, uma janela pop-up aparece: «Atualização disponível — Uma nova versão está disponível para download.» Um indicador gira e um contador conta de cinco a zero. Não há botão para fechar.

A essa altura, o visitante já passou por uma chamada frustrante e cheia de falhas — e uma atualização de software é exatamente o que ele está pronto para querer. O pop-up não chega como uma surpresa, mas como uma resposta.

Quando o contador chega a zero, o navegador recebe a instrução de descarregar silenciosamente um ficheiro. No mesmo momento, a página muda para o que parece ser a Microsoft Store, mostrando o «Zoom Workplace» a meio da instalação, com o ícone a girar e tudo. Enquanto o visitante observa o que parece ser uma instalação legítima a resolver o problema, o instalador real já chegou à sua pasta de downloads — e não pediu permissão em nenhum momento.

Uma atualização do Zoom com o Teramind integrado

O ficheiro descarregado chama-se zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced) (1).msi. É um formato padrão Windows . A sua impressão digital única é 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa.

O próprio nome do ficheiro é revelador: a sequência s-i(__) é a convenção de nomenclatura da Teramind para um instalador de instância furtiva, com o hash após ele identificando a conta Teramind específica controlada pelo invasor à qual o agente se reportará.

A análise de segurança do conteúdo do ficheiro revelou dois trechos de texto particularmente reveladores escondidos dentro dele: versão do agente 26.3.3403 e um campo chamado IP do servidor ou nome do host. Esses campos confirmam que o instalador foi pré-configurado para se conectar a um servidor Teramind controlado pelo invasor.

O instalador é executado através Windows sem apresentar uma interface interativa típica de instalação para o consumidor. O alvo que está a ser configurado como alvo de vigilância não tem ideia do que está a acontecer.

Construído para ser invisível

Dentro dos ficheiros internos do instalador — notas deixadas pelo processo de desenvolvimento que normalmente só são vistas pelos autores do software — o nome da pasta out_stealth aparece no caminho de compilação. Isso não é uma coincidência. A Teramind comercializa uma opção de implementação dedicada em «modo furtivo», especificamente concebida para que o agente funcione sem presença visível: sem ícone na barra de tarefas, sem entrada na bandeja do sistema, sem vestígios na lista de programas instalados.

Nesta versão do Windows , o MSI da Teramind nomeia por padrão o binário do agente como dwm.exe e instala-o em ProgramData\{GUID} diretório. Esse comportamento é documentado pelo fornecedor e pode ser alterado usando o TMAGENTEXE parâmetro do instalador.

Durante a instalação, o software é montado em etapas. Vários componentes do Teramind são descompactados em diretórios temporários durante a instalação. Esses ficheiros intermediários não são assinados individualmente, o que às vezes pode acionar ferramentas de segurança durante a análise. A cadeia de instalação primeiro confirma se o Teramind já está na máquina e, em seguida, recolhe o nome do computador, a conta de utilizador atual, o idioma do teclado e a localidade do sistema. Esses são os detalhes de que o Teramind precisa para identificar o dispositivo e começar a relatar a atividade para quem o implantou.

O agente está configurado para comunicar com uma instância remota do servidor Teramind, em conformidade com as implementações de monitorização empresarial.

Concebido para enganar as ferramentas que o detectariam

Um dos aspetos mais deliberados deste instalador é o quanto ele se esforça para evitar ser analisado. Os investigadores de segurança examinam softwares suspeitos em ambientes controlados de «sandbox» (essencialmente máquinas virtuais isoladas onde o software pode ser executado com segurança enquanto é observado). Este instalador foi criado para detectar exatamente essa situação e se comportar de maneira diferente.

Os indicadores de análise de tempo de execução sinalizam a presença de lógica de depuração e detecção de ambiente (DETECT_DEBUG_ENVIRONMENT). O instalador realiza verificações consistentes com a identificação de ambientes de análise ou sandbox e pode alterar o seu comportamento nessas condições.

Assim que a instalação estiver concluída, o instalador remove os seus ficheiros temporários e pastas de preparação. Isso significa que, quando alguém verificar a máquina, os vestígios óbvios do instalador já podem ter desaparecido. O agente de monitorização, no entanto, continua a ser executado em segundo plano.

Por que o Teramind torna esta campanha excepcionalmente perigosa

O Teramind é um produto legítimo. As empresas pagam por ele para monitorizar os funcionários em dispositivos pertencentes à empresa: ele regista cada tecla digitada, tira capturas de ecrã em intervalos regulares, grava quais sites foram visitados e quais aplicações foram abertas, captura o conteúdo da área de transferência e rastreia a atividade de e-mails e ficheiros.

Num contexto corporativo, com funcionários informados e políticas em vigor, isso é legal. Essa mesma capacidade, instalada secretamente numa máquina pessoal, é algo completamente diferente.

Os atacantes não criaram um malware personalizado. Eles utilizaram um produto comercial desenvolvido profissionalmente, projetado para funcionar de forma confiável e persistir mesmo após reinicializações. Isso o torna mais durável do que muitas variedades tradicionais de malware.

Como os ficheiros em si pertencem a software legítimo, as ferramentas antivírus tradicionais que procuram apenas códigos maliciosos conhecidos podem não os sinalizar. O contexto é importante. Quando o software de monitorização é instalado sem consentimento num dispositivo pessoal, ele se enquadra na categoria frequentemente descrita como stalkerware — software usado para monitorizar alguém sem o seu conhecimento.

O que fazer se tiver sido afetado

Se visitou uswebzoomus[.]com/zoom/ e um ficheiro com o nome acima foi descarregado:

Não abra.

Se já o executou, considere o seu dispositivo comprometido.

Verifique a pasta de instalação:

  1. Abra o Explorador de Ficheiros.
  2. Navegue até C:\ProgramData.
  3. Procure uma pasta chamada {4CEC2908-5CE4-48F0-A717-8FC833D8017A}.

O ProgramData está oculto por predefinição. No Explorador de ficheiros, selecione Exibir e ative«Itens ocultos».

Verifique se o serviço está em execução:

  1. Abra o Prompt de Comando como administrador.
  2. Tipo: sc query tsvchst
  3. Pressione Enter.

Se aparecer STATE: 4 RUNNING, o agente está ativo. Se o serviço não existir, ele não foi instalado usando a configuração padrão.

Altere as palavras-passe de contas importantes — e-mail, banco e trabalho — a partir de um dispositivo diferente e limpo.

Se isso aconteceu num computador do trabalho, contacte imediatamente a sua equipa de TI ou de segurança.

Para evitar ataques semelhantes no futuro:

  • Abra o Zoom diretamente a partir da aplicação no seu dispositivo.
  • Digite zoom.us no seu navegador em vez de clicar em links inesperados.
  • Tenha cuidado com links que não estava especificamente à espera.

Considerações finais

Há uma tendência discreta, mas crescente, de invasores recorrerem a softwares comerciais legítimos em vez de criarem os seus próprios. Ferramentas como o Teramind chegam a um computador com a credibilidade de um produto de uma empresa real — e essa credibilidade é exatamente o que as torna úteis para quem as utiliza sem permissão.

Esta campanha não depende de sofisticação técnica. Nenhuma nova técnica de hacking foi utilizada. O invasor criou uma página falsa convincente do Zoom, configurou um download automático para ser acionado antes que qualquer visitante tivesse motivos para suspeitar e utilizou uma tela falsa da Microsoft Store para explicar tudo. Do clique à instalação, leva menos de trinta segundos. Alguém que estivesse à espera de um convite do Zoom e visse o que parecia ser uma instalação da Microsoft em andamento poderia facilmente sair acreditando que nada de anormal havia acontecido.

O Zoom é frequentemente falsificado porque as pessoas recebem links para reuniões por e-mail, mensagem de texto, Slack e convites de calendário — e clicam rapidamente. Dedicar cinco segundos para confirmar se um link realmente leva ao zoom.us é um hábito simples que pode evitar um problema grave.

Indicadores de compromisso (IOCs)

Hashes de ficheiros (SHA-256)

  • 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa

Domínios

  • uswebzoomus[.]com

ID da instância Teramind

  • 941afee582cc71135202939296679e229dd7cced

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

IA
Logótipo OpenClaw

OpenClaw: O que é e pode ser usado com segurança?

fevereiro 23, 2026

O OpenClaw é um tema muito em voga atualmente. Mas o que é e como pode utilizar o assistente de IA 24 horas por dia, 7 dias por semana, de forma segura?

Notícias
lembrar senhas

Os gestores de palavras-passe mantêm as suas palavras-passe seguras, a menos que...

fevereiro 23, 2026

Os investigadores analisaram as alegações de conhecimento zero dos gestores de palavras-passe e descobriram alguns cenários de ataque possíveis.

Notícias
semana da segurança

Uma semana em segurança (16 a 22 de fevereiro)

fevereiro 23, 2026

Uma lista de tópicos que abordámos na semana de 16 a 22 de fevereiro de 2026

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes