Logo TecMundo
Segurança

Hackers utilizam falso Teams para ter acesso remoto a computadores

Falso instalador do Microsoft Teams infecta PCs com backdoor, permitindo que criminosos executem comandos e roubem arquivos.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule01/10/2025, às 20:00

updateAtualizado em 03/10/2025, às 11:12

Uma versão maliciosa do Microsoft Teams está sendo usada por cibercriminosos para disseminar um malware conhecido como Oyster. Os hackers chegam a veicular propagandas falsas e técnicas de otimização de resultados de busca (SEO) para posicionar os sites fraudulentos no topo das pesquisas.

O modus operandi facilita que as vítimas acessem o site da campanha e façam o download do aplicativo falso. Com o malware, criminosos conseguem acesso remoto aos computadores e ainda podem realizar ataques de ransomware.

smart_display

Nossos vídeos em destaque

Oyster é um malware do tipo backdoor escrito na linguagem C++ que apareceu pela primeira vez em julho de 2023. Ele permite sessões remotas, com suporte a tarefas como transferência de arquivos e processamento de linha de comando.

Como o golpe do falso Teams funciona?

O site falso aparece quando usuários procuram por termos como "Teams download". Embora os anúncios e o domínio não usem diretamente o endereço da Microsoft, eles direcionam para um site no domínio “teams-install[.]top”, que imita a página oficial de download do Microsoft Teams. 

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

Ao clicar no link de download, o usuário baixa um arquivo chamado “MSTeamsSetup.exe”, o mesmo nome usado no download oficial da Microsoft.

O arquivo malicioso chegou a ser assinado digitalmente com certificados de empresas como 4th State Oy e NRM Network Risk Management Inc, numa tentativa de parecer legítimo. 

Ao ser executado, o programa falso instala uma DLL chamada "CaptureService.dll" na pasta do sistema. Para se manter ativo, cria uma tarefa agendada que roda a cada 11 minutos, garantindo que o backdoor continue funcionando mesmo depois de reinicializações.

teams-falso.png.png
Site falso imita o original, mas a URL denuncia o golpe. Créditos: BlackPoint/Divulgação

Segundo a Blackpoint, essa tática não é nova: já foi usada em campanhas com instaladores falsos do Google Chrome e do próprio Teams. 

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

A estratégia combina envenenamento de SEO (para manipular resultados de busca) com malvertising (anúncios maliciosos), explorando a confiança dos usuários em marcas conhecidas e sites que aparecem bem ranqueados.

Desde o início de junho de 2025, a Arctic Wolf observou uma campanha de manipulação de SEO e malvertising que promove sites maliciosos hospedando versões adulteradas (Trojanized) de ferramentas legítimas de TI, como PuTTY e WinSCP – além do Teams.

Como se proteger?

Para se proteger de campanhas como essa de malwares em sites falsos, é importante verificar alguns pontos e adotar medidas de segurança como:

  • Baixe programas somente dos sites oficiais. Evite clicar em anúncios de “download” nas buscas;
  • Verifique sempre o endereço do site para ver se parece legítimo (por exemplo, “microsoft.com” ou “teams.microsoft.com”, não “teams-install.top” ou domínios estranhos);
  • Tenha um antivírus ou solução de segurança ativa e mantenha o sistema operacional atualizado;
  • Cuidado com anúncios que aparecem em buscadores prometendo “versões novas/rápidas” de programas conhecidos.

Para saber mais sobre golpes como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e em nosso canal do YouTube para mais notícias de segurança e tecnologia.
 

Perguntas Frequentes

O que é o golpe do falso Microsoft Teams?
Trata-se de uma campanha maliciosa em que cibercriminosos criam sites falsos que imitam a página oficial do Microsoft Teams. Esses sites distribuem um instalador adulterado que, ao ser executado, instala um malware chamado Oyster, permitindo acesso remoto ao computador da vítima.
Como os hackers fazem com que os sites falsos apareçam nas buscas?
Os criminosos utilizam técnicas de envenenamento de SEO (Search Engine Optimization) e malvertising (anúncios maliciosos) para manipular os resultados de busca. Assim, os sites fraudulentos aparecem entre os primeiros resultados quando usuários procuram por termos como "Teams download".
O que é o malware Oyster e como ele funciona?
Oyster é um malware do tipo backdoor escrito em C++ que surgiu em julho de 2023. Ele permite que os criminosos estabeleçam sessões remotas no computador infectado, com funcionalidades como transferência de arquivos e execução de comandos via linha de comando. Também pode ser usado em ataques de ransomware.
Como o instalador falso tenta parecer legítimo?
O arquivo malicioso tem o mesmo nome do instalador oficial da Microsoft (“MSTeamsSetup.exe”) e chegou a ser assinado digitalmente com certificados de empresas reais, como 4th State Oy e NRM Network Risk Management Inc, para enganar os usuários e parecer confiável.
Quais sinais indicam que o site de download é falso?
O principal indício é o endereço do site. Domínios como “teams-install.top” não pertencem à Microsoft. Sites legítimos usam domínios como “microsoft.com” ou “teams.microsoft.com”. Além disso, desconfie de anúncios que prometem versões “novas” ou “rápidas” de programas populares.
O que é uma tarefa agendada e como ela é usada nesse golpe?
Uma tarefa agendada é uma função do sistema operacional que executa ações automaticamente em intervalos definidos. No caso do golpe, o malware cria uma tarefa que roda a cada 11 minutos para garantir que o backdoor continue ativo mesmo após reinicializações do sistema.
Esse tipo de golpe já foi usado com outros programas?
Sim. Segundo a empresa Blackpoint, essa tática já foi empregada anteriormente com instaladores falsos de outros softwares populares, como o navegador Google Chrome e o próprio Microsoft Teams.
Como posso me proteger contra esse tipo de ameaça?
Baixe programas apenas de sites oficiais, evite clicar em anúncios de download, verifique o endereço do site, mantenha o sistema operacional atualizado e utilize uma solução de segurança ativa, como antivírus. Fique atento a promessas suspeitas em anúncios de buscadores.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 3 dias
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA