Threats
A campanha do Vanilla Tempest tinha como objetivo utilizar, de forma fraudulenta, ficheiros de instalação falsos do Teams para entregar backdoor Oyster e implementar ransomware Rhysida
19/10/2025
|
A Microsoft revogou mais de 200 certificados utilizados no âmbito de um ataque ransomware. Numa publicação feita na conta verificada Microsoft Threat Intelligence na rede social X (antigo Twitter), a empresa revela que interrompeu uma campanha do Vanilla Tempest, um agente de ameaça que assinou e utilizou, de forma fraudulenta, ficheiros de instalação falsos do Teams para entregar o backdoor Oyster e, no fim da linha, implementar o ransomware Rhysida. “Identificámos esta campanha do Vanilla Tempest no final de setembro de 2025, após vários meses em que o ator de ameaça utilizava binários assinados de forma fraudulenta em ataques. Para além da revogação de certificados, o Microsoft Defender Antivirus deteta os ficheiros de instalação falsos, o backdoor Oyster e o ransomware Rhysida, e o Microsoft Defender for Endpoint deteta as TTP do Vanilla Tempest. O Vanilla Tempest, acompanhado por outros fornecedores de segurança como VICE SPIDER e Vice Society, é um ator movido por motivação financeira que se foca na implantação de ransomware e na exfiltração de dados para extorsão”, pode ler-se na publicação. Nesta campanha em específico, o grupo Vanilla Tempest terá recorrido a ficheiros falsos MSTeamsSetup.exe alojados em domínios maliciosos que imitavam o Microsoft Teams, por exemplo, teams-download[.]buzz, teams-install[.]run ou teams-download[.]top. A execução dos falsos setups do Microsoft Teams entregava um loader, que por sua vez entregava um backdoor Oyster assinado de forma fraudulenta. Além de revogar os certificados, as soluções de segurança foram atualizadas para sinalizar as assinaturas associadas aos arquivos de configuração falsos, backdoor Oyster e ransomware Rhysida. O agente de ameaça recorreu a vários payloads de ransomware, incluindo BlackCat, Quantum Locker e Zeppelin, ainda que o foco mais recente assente na implementação do ransomware Rhysida. O grupo Vanilla Tempest começou a incorporar o Oyster nos seus ataques já em junho de 2025, mas iniciou a assinatura fraudulenta destes backdoors no início de setembro de 2025. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
THREATS
Falha de gravidade máxima no n8n expõe segredos e infraestruturas de IA a ataques remotos
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
