Ligações falsas de suporte de TI no Microsoft Teams estão a instalar o malware EtherRAT em redes corporativas. A campanha, revelada pela Unit 42 da Palo Alto Networks, combina phishing por email, chamadas de voz no Teams, partilha de ecrã e ferramentas legítimas de acesso remoto para comprometer sistemas de forma quase indetectável. O malware usa contratos inteligentes da rede Ethereum para esconder os seus servidores de comando — uma técnica que neutraliza as táticas tradicionais de resposta a incidentes.
O que é o EtherRAT
O EtherRAT é um trojan de acesso remoto (RAT) escrito em Node.js que dá controlo total sobre máquinas comprometidas. A sua característica mais distintiva reside no uso de contratos inteligentes da rede Ethereum para descobrir o servidor de comando e controlo (C2). Isso permite que os atacantes troquem de infraestrutura com um custo mínimo, sem precisar de alterar o malware já instalado nas vítimas.
Segundo análise da Malwarebytes, o EtherRAT é distribuído por instaladores MSI e scripts PowerShell, com versões numeradas de v1 até v9 — evidência clara de que a campanha está em desenvolvimento activo.
Quando instalado, o malware recolhe impressões digitais detalhadas do sistema: endereço IP público, informações de CPU e GPU, sistema operativo, software antivírus instalado, domínio e status de administrador. Ele apaga-se automaticamente se detectar idiomas de países da CEI (Comunidade de Estados Independentes), um comportamento típico de malware de origem na Europa de Leste. Entre as funcionalidades disponíveis para o atacante estão a execução de comandos arbitrários, manipulação de ficheiros, roubo de dados e manutenção de persistência no sistema comprometido.
Como funciona o ataque
A campanha descrita pela Unit 42 da Palo Alto Networks segue uma cadeia de ataque sofisticada em múltiplas etapas, aproveitando-se de ferramentas corporativas legítimas para escapar à detecção:
- Phishing inicial: a vítima recebe um email corporativo com o tema “Pesquisa de Funcionários” e um PDF malicioso em anexo. O documento serve como isca e como sinalizador — quando aberto, alerta os atacantes que o alvo está activo.
- Chamada de voz no Teams: minutos depois, a vítima recebe uma ligação de voz no Microsoft Teams de uma conta externa. O próprio Teams exibe o rótulo “Externo desconhecido”, indicando que o remetente pertence a um tenant diferente do Microsoft 365 — um sinal de alerta que muitos funcionários ignoram.
- Engenharia social: o atacante, posando como administrador de sistemas, convence a vítima a iniciar a partilha de ecrã pelo Teams. A partir daí, guia cada passo manualmente.
- Instalação de ferramentas legítimas: com controlo remoto sobre o ecrã da vítima, o atacante instrui a instalação do HopToDesk e do AnyDesk — dois softwares legítimos de acesso remoto que passam despercebidos pela maioria dos antivírus corporativos.
- Deploy do payload malicioso: o atacante descarrega e executa um instalador MSI malicioso (v7.msi) a partir do domínio camorreado[.]click.
- Execução do EtherRAT: o MSI funciona como loader — descarrega o runtime do Node.js caso não esteja presente, desencripta payloads embutidas com uma função XOR e lança o EtherRAT.
Os logs de auditoria do Microsoft 365 revelaram que o atacante usou a conta helpdesk@Progressive936.onmicrosoft[.]com para iniciar o chat externo, simulando o suporte técnico da própria organização da vítima. A técnica de execução indirecta via ClickFix também foi observada como vector alternativo de entrada neste mesmo malware.
C2 dentro da blockchain
A técnica EtherHiding, documentada pela Infosecurity Magazine com base em investigação da eSentire, é o que torna o EtherRAT particularmente difícil de desmantelar. Em vez de codificar o endereço do servidor C2 no código-fonte, o malware consulta contratos inteligentes na Ethereum via provedores RPC públicos.
O impacto prático é considerável: os atacantes podem actualizar o endereço C2 escrevendo novos dados no smart contract. Todas as máquinas já infectadas reconectam-se ao novo servidor de forma automática, sem que seja necessário redistribuir o malware. Os pedidos de rede são formatados para simular tráfego normal de CDN, dificultando a detecção por ferramentas de monitorização de rede.
Essa abordagem neutraliza uma das táticas mais eficazes durante a resposta a incidentes — o bloqueio e desactivação da infraestrutura C2. Mesmo que a equipa de segurança identifique e bloqueie o servidor actual, os atacantes movem-no para um novo endereço com um simples registo na blockchain. Não é coincidência que técnicas semelhantes já foram observadas em campanhas de phishing como serviço que roubam tokens do Microsoft 365.
Ataques via Teams em crescendo
Esta campanha não é um caso isolado. Em março de 2026, outro ataque utilizou spam massivo seguido de contactos via Microsoft Teams para impessoar a equipa de TI e instalar o malware A0Backdoor por meio do Quick Assist. A própria Microsoft alertou em abril que atacantes estão a abusar de forma crescente das chamadas externas no Teams para convencer funcionários a conceder acesso remoto aos seus dispositivos.
O padrão repetido é claro: após obter acesso inicial, o atacante realiza reconhecimento, move-se lateralmente pela rede corporativa e exfiltrar dados sensíveis. A diferença crítica é que o ponto de entrada deixou de ser apenas um email — agora é uma chamada de voz que explora a confiança do funcionário na ferramenta de comunicação que ele usa todos os dias. Esse é o mesmo modelo que o ransomware DragonForce já usou para esconder ataques dentro do Teams.
Como resposta, a Microsoft adicionou avisos que identificam chamadores e chats externos no Teams, e introduziu uma nova política que coloca bots suspeitos de terceiros no lobby da reunião até que o organizador os aprove manualmente. São medidas necessárias, mas insuficientes sozinhas — a barreira final continua a ser o funcionário.
Como proteger a empresa
A combinação de phishing por email e vishing por voz no Teams cria um vector duplo que desafia as defesas convencionais. Medidas práticas para reduzir o risco:
- Formação contínua: treinar equipas para nunca conceder acesso remoto a chamadores externos sem verificação prévia pelo canal oficial de TI da empresa.
- Bloqueio de RPC de criptomoedas: restringir acesso a provedores RPC publicamente conhecidos usados por atacantes para consultar contratos inteligentes na Ethereum.
- Restrição de utilitários do Windows: desactivar ferramentas que permitem execução indirecta de comandos, incluindo o mecanismo de execução usado pelo ClickFix.
- Políticas de instalação: impedir a instalação de software como AnyDesk e HopToDesk por utilizadores finais — apenas deploy via gestão corporativa.
- Monitorização de logs: vigiar logs do Microsoft 365 e do Teams para chamadas externas incomuns, especialmente de contas recém-criadas ou de tenants desconhecidos.
O uso de inteligência artificial e blockchain para evadir detecção não é uma curiosidade académica — é o próximo estádio da guerra cibernética corporativa. Quem ainda pensa que antivírus e MFA bastam está a subestimar o adversário.
Referências
- BleepingComputer — Fake IT support calls on Microsoft Teams push EtherRAT malware (6 de Julho de 2026)
- Infosecurity Magazine — EtherRAT Techniques Bypass Security Via Ethereum Smart Contracts (26 de Março de 2026)
- Malwarebytes — Inside a malicious infrastructure delivering EtherRAT (15 de Junho de 2026)