Microsoft cancela 200 certificados digitais usados para distribuir versão falsa do Teams com ransomware

Microsoft suspende 200 certificados digitais associados a malware no Teams, interrompendo ataque ransomware.
Publicado dia 17/10/2025
Microsoft cancela 200 certificados digitais usados para distribuir versão falsa do Teams com ransomware
(Imagem/Reprodução: Tecmundo)
Resumo da notícia
    • A Microsoft cancelou mais de 200 certificados digitais usados para autenticar uma versão falsa do Microsoft Teams que distribuía ransomware.
    • Você deve estar atento para baixar softwares apenas de fontes oficiais para evitar infecções por malwares.
    • A revogação desses certificados protegeu usuários contra ataques sofisticados que poderiam comprometer seus dados e sistemas.
    • Essa ação reforça a importância de manter os sistemas atualizados e vigilantes contra ameaças digitais.
CONTINUA DEPOIS DA PUBLICIDADE

A Microsoft agiu rápido e cancelou mais de 200 certificados digitais que estavam sendo usados por criminosos virtuais. Esses certificados serviam para autenticar uma versão falsa do Microsoft Teams, o que permitia a distribuição de malwares. A ação, confirmada pela conta oficial de segurança da empresa no X (@MsftSecIntel), interrompeu uma campanha perigosa.

Essa medida da Microsoft, anunciada na quarta-feira (15), foi crucial para frear o grupo criminoso conhecido como Vanilla Tempest. Eles exploravam instaladores falsos do Teams para espalhar o backdoor Oyster, um tipo de software que permite acesso secreto ao computador da vítima. Após o backdoor, eles implantavam o ransomware Rhysida.

Um backdoor dá acesso remoto a um sistema sem a autorização do usuário, enquanto o ransomware é um software que bloqueia o acesso a dados ou sistemas, exigindo pagamento para liberá-los. A empresa informou que “no início de outubro de 2025, a Microsoft interrompeu uma campanha do grupo Vanilla Tempest revogando mais de 200 certificados que o agente de ameaça havia assinado fraudulentamente e usado em arquivos de setup falsos do Teams”.

CONTINUA DEPOIS DA PUBLICIDADE

Este procedimento visava entregar o backdoor Oyster e, por fim, o ransomware Rhysida. A detecção dessa atividade fraudulenta permitiu à Microsoft identificar e bloquear os certificados antes que causassem mais danos. Assim, a empresa conseguiu proteger seus usuários de ataques mais sofisticados.

Como os Ataques de Microsoft revoga certificados Aconteciam

O grupo Vanilla Tempest operava com uma estratégia bem elaborada. Eles usavam arquivos chamados MSTeamsSetup.exe, que pareciam ser os instaladores legítimos do Microsoft Teams. Para enganar as vítimas, esses arquivos eram hospedados em domínios falsos, criados para se parecer com os oficiais da Microsoft.

Leia também:

Entre os endereços usados estavam teams-download[.]buzz, teams-install[.]run e teams-download[.]top. Esses sites maliciosos eram promovidos através de uma técnica chamada SEO poisoning. Essa técnica manipula os resultados dos mecanismos de busca, fazendo com que as páginas fraudulentas apareçam em posições de destaque. Muitas vezes, usuários desavisados clicavam nessas páginas.

Ao executar o instalador falso, a vítima, sem saber, iniciava a instalação de um loader. Este loader era o responsável por implantar o backdoor Oyster no sistema. O detalhe é que esse backdoor tinha uma assinatura fraudulenta, que o fazia parecer um software legítimo. De acordo com a investigação da Microsoft, o malware já estava em uso em ataques desde junho de 2025.

Essa é uma lembrança de como os cibercriminosos usam táticas sofisticadas para enganar as pessoas. Em outros cenários, a Microsoft já destacou que o golpe ClickFix, por exemplo, superou o phishing como principal ameaça digital.

Histórico do Grupo Vanilla Tempest

CONTINUA DEPOIS DA PUBLICIDADE

O grupo Vanilla Tempest já tinha um histórico conhecido no mundo da cibersegurança. Antes dessa campanha, eles eram monitorados sob o nome de Storm-0832. Suas atividades anteriores incluíam campanhas de disseminação de ransomware, o que já acendia um alerta para as equipes de proteção digital.

Os primeiros sinais dessa nova ofensiva foram notados em setembro de 2025. A equipe da Blackpoint Cyber foi uma das primeiras a identificar os indícios iniciais do ataque. Esse monitoramento constante é essencial para que as empresas de segurança possam reagir rapidamente a novas ameaças.

A colaboração entre diferentes empresas e a divulgação de informações são fundamentais para combater esses grupos. Ataques como esses destacam a importância de empresas e usuários estarem sempre vigilantes. Afinal, a segurança digital é um esforço contínuo e compartilhado para proteger dados e sistemas.

Em um contexto mais amplo de ciberataques, a notícia de que a Sotheby’s confirmou vazamento de dados após ataque cibernético mostra que nenhuma organização está imune a essas ameaças.

Cuidados Essenciais para Evitar Golpes

A nova campanha do Vanilla Tempest reforça a importância de ter alguns cuidados básicos no dia a dia digital. A primeira e mais importante dica é sempre baixar softwares de seus sites oficiais. Evite downloads de fontes desconhecidas ou de terceiros, mesmo que pareçam convincentes.

Antes de clicar em qualquer link de download, verifique com muita atenção o endereço (URL) do site. É fácil cair em armadilhas de domínios falsos que imitam os originais. Fique de olho em qualquer pequena diferença no nome, pois isso pode indicar uma página fraudulenta.

Lembre-se que resultados bem posicionados em mecanismos de busca nem sempre são seguros. Técnicas como o SEO poisoning podem colocar páginas falsas no topo, especialmente quando se trata de aplicativos muito populares, como o Microsoft Teams. É sempre melhor digitar o endereço oficial diretamente no navegador.

Manter seus sistemas operacionais e aplicativos atualizados também é uma boa prática. As atualizações frequentemente incluem correções de segurança que protegem contra as últimas ameaças. Pequenas atitudes de precaução podem fazer uma grande diferença na sua segurança online.

Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.

André atua como jornalista de tecnologia desde 2009 quando fundou o Tekimobile. Também trabalhou na implantação do portal Tudocelular.com no Brasil e já escreveu para outros portais como AndroidPIT e Techtudo. É formado em eletrônica e automação, trabalhando com tecnologia há 26 anos.