Golpe espalha Microsoft Teams falso a partir do buscador da empresa

Cuidado na hora de clicar em um anúncio, mesmo em redes conhecidas: pesquisadores de segurança digital da Expel detectaram que uma quadrilha de ransomware está distribuindo anúncios falsos do Microsoft Teams para prejudicar vítimas.

• O que é ransomware?
• Novo ransomware LockBit ganha novos recursos e está mais perigoso do que nunca

Segundo a análise da companhia, um malware está sendo distribuído pela Rhysida, uma conhecida gangue de ransomware que está emplacando esses ataques desde junho deste ano.

O caso envolve a criação de páginas falsas que imitam sites de download do Microsoft Teams. Também há uma divulgação em peso desses anúncios maliciosos no Bing, o mecanismo de busca da Microsoft, o que acaba aumentando o alcance do golpe.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Como a campanha funciona

Tudo começa com uma simples pesquisa da vítima que está em busca de um link para baixar o Microsoft Teams. Com a boa reputação da empresa, o usuário pode se sentir confortável o bastante para clicar no primeiro anúncio que aparece no Bing, e é aí que as coisas se complicam.

Depois do clique, a vítima é redirecionada para uma página falsa que, à primeira vista, parece idêntica à página de downloads do Teams.

Assim que o usuário inicia o download, o dispositivo é imediatamente infectado por dois malwares chamados OysterLoader e Latrodectus. Ambos se ajustam às necessidades do cibercriminoso por trás da campanha com trojans de acesso remoto e backdoors.

Com acesso ao aparelho da vítima, a quadrilha consegue criptografar os dados do usuário e garante abrir uma porta de entrada para realizar diversos tipos de golpes digitais.

Quadrilha conhecida no meio digital

Não é de hoje que o Rhysida promove ataques de ransomware no ambiente virtual. Várias violações de segurança já foram atribuídas à quadrilha, como um ataque à Biblioteca Britânica, em 2023, que teve quase 600 GB de arquivos roubados.

O grupo criminoso também esteve por trás de um ataque contra o Aeroporto Internacional de Seattle-Tacoma, nos Estados Unidos, em 2024, assim como diversas campanhas maliciosas envolvendo instituições de educação e do governo no país.

Seguindo na ativa, o Rhysida costuma agir com base no RaaS, modelo de negócio criminoso que permite que os afiliados invadam os dispositivos das vítimas em troca de uma determinada quantia dos lucros.

Leia também:

• Spyware, ransomware e ladrão de senhas: novo vírus para Android é "tudo em um"
• Novo ransomware consegue "cegar" antivírus para roubar dados
• Pesquisador cria ransomware que infecta CPUs e inutiliza proteções atuais

Fonte: TechRadar