Em mais uma ofensiva contra o cibercrime, a Microsoft anunciou a revogação de 200 certificados digitais que estavam sendo utilizados por um grupo criminoso conhecido como Vanilla Tempest (também chamado de VICE SPIDER ou Vice Society).
A ação teve como objetivo interromper uma campanha de disseminação de malware que usava instaladores falsos do Microsoft Teams como isca.
Segundo a equipe de inteligência de ameaças da empresa, os criminosos estavam usando arquivos disfarçados de “MSTeamsSetup.exe” hospedados em domínios maliciosos que imitavam os endereços oficiais do Teams.
A estratégia de distribuição provavelmente envolvia envenenamento de SEO (SEO poisoning), levando usuários desavisados a clicarem em links maliciosos ao buscar o instalador legítimo do Teams no Google.
Detectada no final de setembro de 2025, essa campanha utilizava arquivos assinados digitalmente que pareciam legítimos, mas, na realidade, atuavam como malwares loaders (carregadores), responsáveis por baixar um backdoor chamado Oyster.
O grupo Vanilla Tempest começou a empregar o Oyster em suas operações em junho de 2025, mas passou a assinar fraudulentamente esses backdoors a partir de setembro do mesmo ano.
Para isso, eles utilizaram serviços como Trusted Signing, além de certificados emitidos por SSL.com, DigiCert e GlobalSign — todos nomes de peso no ecossistema de certificação digital.
Esse tipo de abuso de certificados é particularmente preocupante porque permite que softwares maliciosos passem por legítimos, dificultando sua detecção por soluções de segurança convencionais.
Ativo desde 2021, o grupo Vanilla Tempest tem um histórico conhecido de ataques cibernéticos com foco em ransomware e extorsão de dados. Eles já utilizaram variantes como BlackCat, Quantum Locker e Zeppelin, e têm adotado com mais frequência o ransomware Rhysida.
Medidas de Mitigação da Microsoft
O Microsoft Defender Antivirus já detecta os instaladores falsos do Teams, o backdoor Oyster e o ransomware Rhysida. E o Microsoft Defender for Endpoint identifica os TTPs (táticas, técnicas e procedimentos) usados pelo Vanilla Tempest, ajudando a mitigar e investigar incidentes relacionados.
A empresa ainda ressaltou a importância de compartilhar amplamente essas informações, com o objetivo de fortalecer a defesa coletiva da comunidade de segurança cibernética.
A Microsoft também publicou diretrizes para equipes de TI e segurança, com orientações específicas sobre como reduzir os riscos de ataques envolvendo o Microsoft Teams, seja como vetor inicial ou como plataforma explorada por atacantes durante a intrusão.
O caso mostra que ameaças avançadas podem se infiltrar por meio de ferramentas confiáveis e amplamente utilizadas. A utilização de certificados digitais válidos para assinar malware representa um desafio crescente para profissionais de segurança, e a rápida resposta da Microsoft reforça a importância de monitoramento constante, validação rigorosa de fontes de software e uso de soluções de proteção em camadas.
Para os usuários finais e administradores de sistemas, fica o alerta: evite baixar softwares de sites não oficiais, mesmo que pareçam legítimos, e mantenha suas ferramentas de segurança sempre atualizadas.