A Microsoft agiu de forma decisiva no início de outubro para neutralizar uma vaga de ataques do ransomware Rhysida, revogando mais de 200 certificados digitais. Estes certificados estavam a ser utilizados por um grupo de hackers para assinar instaladores maliciosos do Microsoft Teams, fazendo-os parecer legítimos e enganando as vítimas.
O grupo por trás da ofensiva, conhecido como Vanilla Tempest, usou os instaladores fraudulentos para infetar os sistemas com um backdoor chamado Oyster, abrindo caminho para o roubo de dados e a implementação do ransomware.
Uma armadilha sofisticada com o isco perfeito
A campanha maliciosa teve início no final de setembro, recorrendo a anúncios em motores de busca e a técnicas de "SEO poisoning" (envenenamento dos resultados de pesquisa) para promover os instaladores falsos do Microsoft Teams. Os hackers criaram domínios que imitavam os oficiais da Microsoft, como teams-install[.]top e teams-download[.]buzz, para alojar sites que se passavam pela página de download genuína da aplicação.
Ao clicar no botão de download, as vítimas descarregavam um ficheiro chamado "MSTeamsSetup.exe" – o mesmo nome do instalador oficial. No entanto, a execução deste ficheiro ativava um loader que instalava o malware Oyster (também conhecido como Broomstick ou CleanUpLoader). Uma vez ativo, este backdoor concedia aos atacantes acesso remoto total aos sistemas infetados, permitindo-lhes roubar ficheiros, executar comandos e, finalmente, instalar cargas maliciosas adicionais, como o próprio ransomware Rhysida.
Vanilla Tempest: os velhos conhecidos por trás dos ataques
O grupo Vanilla Tempest, também monitorizado por outras empresas de segurança como VICE SPIDER e Vice Society, é um ator de ciberataque com motivações financeiras, focado na implementação de ransomware e na extorsão de dados. A Microsoft confirma que, embora o grupo já tenha utilizado diversas variantes como BlackCat e Zeppelin, tem-se concentrado maioritariamente no Rhysida nos últimos tempos.
Os hackers usam o backdoor Oyster desde junho de 2025, mas em setembro começaram a abusar de serviços de assinatura de código legítimos, incluindo SSL.com, DigiCert, GlobalSign e até o serviço Trusted Signing da própria Microsoft, para dar uma falsa credibilidade ao seu malware.
Ativo desde, pelo menos, junho de 2021, o Vanilla Tempest tem visado com frequência organizações dos setores da educação, saúde, TI e indústria. Há três anos, em setembro de 2022, o FBI e a CISA emitiram um alerta conjunto sobre os ataques desproporcionais do grupo (na altura como Vice Society) ao setor da educação nos EUA, após terem comprometido o segundo maior distrito escolar do país, o Los Angeles Unified (LAUSD).
Nenhum comentário
Seja o primeiro!