A Microsoft anunciou uma ação global contra o Fox Tempest, um grupo ligado a um esquema de "Malware Signing-as-a-Service" (MSaaS) que ajudava cibercriminosos a distribuir malwares disfarçados de softwares legítimos. A operação funcionava como uma espécie de plataforma clandestina de assinatura digital, permitindo que criminosos comprassem certificados fraudulentos para fazer arquivos maliciosos parecerem confiáveis aos olhos de usuários e sistemas de segurança.
Como funcionava o esquema MSaaS
O Fox Tempest operava desde pelo menos maio de 2025 oferecendo certificados digitais fraudulentos sob demanda para outros grupos criminosos, incluindo operadores de ransomware. Na prática, os criminosos conseguiam assinar malwares como se fossem programas legítimos, evitar alertas de segurança, aumentar a confiança dos usuários e facilitar a instalação de arquivos maliciosos.
A operação possuía chats de suporte via Telegram, sistema de filas premium, VPS configuradas, upload simplificado de arquivos, planos de pagamento e assinatura sob demanda. Os investigadores revelaram que havia modelos de prioridade para clientes onde o serviço cobrava US$ 5 mil na fila padrão, US$ 7,5 mil para prioridade e US$ 9,5 mil para atendimento acelerado.
Malware com aparência legítima
O esquema explorava justamente uma ferramenta criada para aumentar confiança em softwares legítimos: o Artifact Signing (antigo Azure Trusted Signing), serviço da Microsoft usado para assinatura digital de aplicações. Os criminosos então distribuíam softwares falsos que imitavam aplicativos conhecidos, incluindo instaladores do Microsoft Teams e ferramentas como NordVPN.
O fluxo do ataque envolvia criação de arquivos assinados fraudulentamente, distribuição via anúncios maliciosos e SEO poisoning, download do arquivo pela vítima, instalação silenciosa do malware e posterior infecção por ransomware. Grupos ligados a ransomware como Vanilla Tempest (Rhysida), Storm-0251 e Storm-0249 estavam entre os atores associados ao uso da infraestrutura do Fox Tempest.
Brasil entre os principais alvos
A Microsoft apresentou um mapa global dos países mais impactados pela operação. O Brasil aparece na quinta posição entre os principais alvos do esquema, atrás de Estados Unidos, França, Índia e China. Para os investigadores, o crescimento da digitalização global tem ampliado o alcance desse tipo de operação.
A empresa informou que obteve uma ordem judicial nos Estados Unidos para derrubar a infraestrutura usada pelo grupo, transferiu domínios maliciosos para sistemas controlados pela empresa e suspendeu repositórios ligados à operação. A ação também contou com colaboração do FBI, Europol e outros parceiros internacionais.
Implicações para a segurança corporativa
O caso do Fox Tempest mostra que a nova fronteira do cibercrime não é apenas invadir sistemas, mas explorar a própria infraestrutura de confiança da internet. Sinais tradicionais de confiança digital como certificados válidos e softwares assinados já não são suficientes para garantir legitimidade.
O combate efetivo exige colaboração entre indústria, autoridades certificadoras, fornecedores de segurança e forças policiais. Administradores de segurança devem revisar os logs de assinatura de código e monitorar atividades suspeitas em repositórios de código e serviços de nuvem que permitam a assinatura de artefatos.