A Microsoft anunciou uma ação global contra o Fox Tempest, um grupo envolvido em um esquema de ‘Malware Signing-as-a-Service’ (MSaaS) que permitia a cibercriminosos distribuir malwares como se fossem softwares legítimos. Segundo o portal Canaltech, a operação clandestina oferecia certificados digitais fraudulentos, permitindo que arquivos maliciosos parecessem confiáveis para usuários e sistemas de segurança.
O esquema, que operava desde maio de 2025, vendia certificados digitais sob demanda para grupos criminosos, incluindo operadores de ransomware. Os criminosos conseguiam assinar malwares como programas legítimos, evitando alertas de segurança e aumentando a confiança dos usuários, o que facilitava a instalação de arquivos maliciosos. A operação contava com suporte via Telegram, sistema de filas premium, VPS configuradas, upload simplificado de arquivos e planos de pagamento.
Investigadores da Microsoft revelaram que o serviço cobrava US$ 5 mil na fila padrão, US$ 7,5 mil para prioridade e US$ 9,5 mil para atendimento acelerado. Maurice Mason, Principal Cybercrime Investigator da Microsoft Digital Crimes Unit (DCU), destacou que o abuso de assinatura de código se tornou escalável, transformando o cibercrime em uma economia de serviços digitais altamente profissionalizada.
O Fox Tempest explorava o Artifact Signing, um serviço da Microsoft para assinatura digital de aplicações, para distribuir softwares falsos que imitavam aplicativos conhecidos, como instaladores do Microsoft Teams e ferramentas como NordVPN. O fluxo do ataque incluía a criação de arquivos assinados fraudulentamente, distribuição via anúncios maliciosos e SEO poisoning, download pela vítima, instalação silenciosa do malware e posterior infecção por ransomware.
Grupos ligados a ransomware como Vanilla Tempest, Storm-0251 e Storm-0249 estavam entre os atores associados ao uso da infraestrutura do Fox Tempest. O Brasil foi um dos países mais afetados pela operação, aparecendo na quinta posição entre os principais alvos, atrás de Estados Unidos, França, Índia e China.
Como parte da ação, a Microsoft obteve uma ordem judicial nos Estados Unidos para desmantelar a infraestrutura usada pelo grupo, transferiu domínios maliciosos para sistemas controlados pela empresa e suspendeu repositórios ligados à operação. A ação contou com a colaboração do FBI, Europol e outros parceiros internacionais, resultando na desabilitação de aproximadamente mil contas, assinaturas ou ambientes ligados ao esquema.
Steven Masada, Assistant General Counsel da DCU, ressaltou a necessidade de colaboração entre indústria, autoridades certificadoras, fornecedores de segurança e forças policiais para combater efetivamente o cibercrime. O caso do Fox Tempest destaca a nova fronteira do cibercrime, que não se limita a invadir sistemas, mas explora a própria infraestrutura de confiança da internet.
📨 Inscreva-se na Newsletter de O Cafezinho
Receba nossas análises e as principais notícias diárias do Brasil e do Sul Global.