A Microsoft anunciou ter revogado mais de 200 certificados digitais utilizados por um grupo cibercriminoso para autenticar uma versão falsa do Microsoft Teams. A ação foi confirmada pelo perfil oficial de segurança da empresa no X (@MsftSecIntel) na última quarta-feira (15).
De acordo com a companhia, a medida interrompeu uma campanha do grupo Vanilla Tempest, que explorava instaladores falsos do Teams para distribuir o backdoor Oyster e, posteriormente, o ransomware Rhysida.
Confira: Microsoft corrige 183 brechas de segurança, incluindo três que foram exploradas
“No início de outubro de 2025, a Microsoft interrompeu uma campanha do grupo Vanilla Tempest revogando mais de 200 certificados que o agente de ameaça havia assinado fraudulosamente e usado em arquivos de setup falsos do Teams”, informou a empresa.
In early October 2025, Microsoft disrupted a Vanilla Tempest campaign by revoking over 200 certificates that the threat actor had fraudulently signed and used in fake Teams setup files to deliver the Oyster backdoor and ultimately deploy Rhysida ransomware.
We identified this… pic.twitter.com/FeTitSrTbi
— Microsoft Threat Intelligence (@MsftSecIntel) October 15, 2025
O grupo malicioso usava arquivos MSTeamsSetup.exe hospedados em domínios falsos que imitavam o mensageiro oficial da Microsoft. Entre os endereços utilizados estavam teams-download[.]buzz, teams-install[.]run e teams-download[.]top. As vítimas eram direcionadas a esses sites por meio de técnicas como SEO poisoning — manipulação de resultados em mecanismos de busca para dar destaque a páginas fraudulentas.
Ao executar o instalador falso, o usuário iniciava a instalação de um loader que implantava o backdoor Oyster com a assinatura fraudulenta. Segundo a investigação da Microsoft, o malware vinha sendo utilizado em ataques desde junho de 2025.
Histórico do grupo Vanilla Tempest
O Vanilla Tempest, anteriormente conhecido como Storm-0832, já era monitorado por equipes de cibersegurança por campanhas de disseminação de ransomware. Os primeiros relatos sobre essa nova ofensiva foram feitos em setembro pela equipe da Blackpoint Cyber, que identificou os indícios iniciais do ataque.
Cuidados essenciais para evitar golpes
A nova campanha reforça a importância de baixar softwares apenas de sites oficiais e de verificar com atenção o endereço (URL) antes de fazer qualquer download. Mesmo resultados bem posicionados em mecanismos de busca podem levar a páginas falsas — especialmente em casos que envolvem aplicativos populares, como o Microsoft Teams.
Leia mais: Windows 11 ganha comando de voz “Hey Copilot” e IA que mexe no PC para você
Continue acompanhando o TecMundo para ficar por dentro das principais notícias sobre segurança digital, tecnologia e ciberataques.
