A Microsoft informou ter desarticulado uma operação de malware-signing-as-a-service (MSaaS) que abusava do serviço Artifact Signing da empresa para gerar certificados fraudulentos de assinatura de código.
Esses certificados eram usados por quadrilhas de ransomware e outros cibercriminosos.
Segundo um relatório publicado hoje pela Microsoft Threat Intelligence, o threat actor rastreado como Fox Tempest usou a plataforma Microsoft Artifact Signing para criar certificados de curta duração, permitindo que o malware fosse assinado digitalmente e tratado como software legítimo por usuários e sistemas operacionais.
O Azure Artifact Signing, antes chamado Trusted Signing, é um serviço baseado em cloud lançado pela Microsoft em 2024, que permite que desenvolvedores assinem seus programas com facilidade usando a infraestrutura da empresa.
A Microsoft afirma que o threat actor, motivado financeiramente, criou mais de 1.000 certificados e centenas de tenants e assinaturas do Azure como parte da operação.
Nesta terça-feira, a empresa também tornou pública uma ação judicial apresentada no Tribunal Distrital dos Estados Unidos para o Distrito Sul de Nova York, voltada contra a operação de cibercrime.
“Fox Tempest criou mais de 1.000 certificados e estabeleceu centenas de tenants e assinaturas do Azure para dar suporte às suas operações.
A Microsoft revogou mais de 1.000 certificados de assinatura de código atribuídos ao Fox Tempest”, disse a empresa.
“Em maio de 2026, a Digital Crimes Unit (DCU) da Microsoft, com apoio de parceiros do setor, desarticulou a oferta de MSaaS do Fox Tempest, mirando a infraestrutura e o modelo de acesso que permitiam seu uso criminoso em maior escala.”
A Microsoft afirma ter apreendido o domínio signspace[.]cloud, usado pelo serviço, tirado do ar centenas de máquinas virtuais ligadas à operação e bloqueado o acesso à infraestrutura que hospedava a plataforma de cibercrime.
O site agora redireciona visitantes para uma página operada pela Microsoft, que explica que a empresa tomou posse do domínio como parte de uma ação judicial contra o esquema de malware-signing-as-a-service.
A operação foi vinculada a diversas campanhas de malware e ransomware envolvendo Oyster, Lumma Stealer e Vidar, além das operações de ransomware Rhysida, Akira, INC, Qilin e BlackByte.
A Microsoft afirma que threat actors, incluindo Vanilla Tempest, Storm-0501, Storm-2561 e Storm-0249, usaram o malware assinado em seus ataques.
A empresa também citou a operação de ransomware Vanilla Tempest como co-conspiradora na ação judicial, afirmando que o grupo usou o serviço para distribuir malware e ransomware em ataques contra organizações no mundo todo.
Segundo a Microsoft, o MaaS operava por meio de signspace[.]cloud e permitia que clientes criminosos enviassem arquivos maliciosos para assinatura de código usando certificados obtidos de forma fraudulenta.
Esses arquivos de malware assinados eram então usados pelos threat actors para se passar por software legítimo, como Microsoft Teams, AnyDesk, PuTTY e Webex, aumentando a credibilidade dos downloads.
“Quando vítimas desavisadas executavam os arquivos de instalação falsamente nomeados como Microsoft Teams, esses arquivos entregavam um loader malicioso, que por sua vez instalava o Oyster malware, assinado de forma fraudulenta, e por fim implantava o ransomware Rhysida”, diz a queixa da Microsoft.
“Como o Oyster malware estava assinado por um certificado do serviço Artifact Signing da Microsoft, o sistema operacional Windows inicialmente reconheceu o malware como software legítimo, quando de outra forma ele seria sinalizado como suspeito ou bloqueado totalmente pelos controles de segurança do Windows.”
A Microsoft acredita que os operadores provavelmente usaram identidades roubadas dos Estados Unidos e do Canadá para cumprir os requisitos de verificação de identidade do Artifact Signing e obter as credenciais de assinatura.
Ao obter os certificados, os threat actors teriam usado apenas certificados de curta duração, válidos por 72 horas, para reduzir o risco de detecção.
Já havia sido informado, em março de 2025, que threat actors estavam abusando do serviço Trusted Signing da Microsoft para assinar malware usado em uma campanha de roubo de criptomoedas atribuída ao grupo Crazy Evil Traffers [VirusTotal] e em uma campanha do Lumma Stealer [VirusTotal].
Embora esses malware também tenham sido assinados com certificados de três dias, não está claro se eles foram assinados pela plataforma de cibercrime do Fox Tempest.
A Microsoft também detalhou como o Fox Tempest evoluiu sua operação no início deste ano, passando a fornecer aos clientes máquinas virtuais pré-configuradas hospedadas na infraestrutura da Cloudzy.
Os clientes enviavam o malware para os ambientes de VM e recebiam binários assinados com certificados controlados pelo Fox Tempest.
A plataforma de assinatura de malware era promovida em um canal do Telegram chamado “EV Certs for Sale by SamCodeSign”, com preços entre US$ 5.000 e US$ 9.000 em bitcoin para acesso ao serviço.
A Microsoft afirma que a operação gerou milhões de dólares em lucros e que se trata de um grupo bem financiado, capaz de administrar infraestrutura, relacionamento com clientes e transações financeiras.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...