Hack Alerta

Serviço de assinatura de malware Fox Tempest abusou do Microsoft Artifact Signing

Por Redação Hack Alerta Publicado em 20/05/2026 06:12 Riscos e Ameaças Tempo de leitura: 4 min

Fox Tempest operou serviço de assinatura de malware abusando do Microsoft Artifact Signing. Saiba como a operação foi interrompida e como se proteger.

Descoberta e escopo da operação

Um ator de ameaça motivado financeiramente conhecido como Fox Tempest tem operado uma plataforma sofisticada de malware-signing-as-a-service (MSaaS) que abusou da infraestrutura de assinatura de artefatos da Microsoft para gerar assinaturas digitais confiáveis para código malicioso.

Esta atividade permitiu que cibercriminosos burlassem controles de segurança e distribuíssem malware que parecia ser assinado legitimamente. Em maio de 2026, a Unidade de Crimes Digitais (DCU) da Microsoft, em colaboração com a Resecurity, interrompeu a infraestrutura do grupo, revogando mais de 1.000 certificados fraudulentos vinculados à operação.

Abuso do Microsoft Artifact Signing

O Fox Tempest aproveitou o serviço de assinatura de artefatos da Microsoft (anteriormente Azure Trusted Signing) para obter certificados de assinatura de código de curta duração válidos por até 72 horas. Esses certificados permitiram que os atacantes assinassem binários de malware para que parecessem aplicativos confiáveis, incluindo versões falsificadas de software popular como Microsoft Teams, AnyDesk, PuTTY e Webex.

Para obter esses certificados, o ator de ameaça provavelmente usou identidades roubadas ou sintéticas dos Estados Unidos e do Canadá para passar pelas verificações de identidade da Microsoft. A operação foi facilitada por uma plataforma agora extinta, signspace[.cloud], que fornecia uma interface de usuário que permitia aos clientes fazer upload de arquivos maliciosos e receber binários digitalmente assinados.

Impacto e alcance

O Microsoft Threat Intelligence rastreia o Fox Tempest desde setembro de 2025, identificando-o como um facilitador chave dentro do ecossistema de ransomware, em vez de um atacante direto. O grupo criou centenas de locatários e assinaturas do Azure para suportar suas operações e emitiu milhares de certificados em escala.

A plataforma MSaaS do Fox Tempest foi vinculada a múltiplos atores de ameaça de alto perfil e famílias de ransomware. Grupos como Vanilla Tempest, Storm-0501, Storm-2561 e Storm-0249 usaram malware assinado pelo Fox Tempest em intrusões do mundo real. O malware associado inclui ransomware Rhysida, Lumma Stealer, Vidar infostealer e o backdoor Oyster (Broomstick).

Medidas de mitigação recomendadas

A Microsoft disse em um relatório compartilhado que as organizações podem reduzir a exposição ao abuso de malware assinado implementando os seguintes controles:

  • Habilitar proteção entregue na nuvem e varredura em tempo real em soluções de segurança de endpoint.
  • Implementar Microsoft Defender SmartScreen para bloquear downloads e sites maliciosos.
  • Aplicar proteção contra violação para impedir a desativação de ferramentas de segurança.
  • Usar regras de redução da superfície de ataque (ASR) para bloquear técnicas comuns de malware.
  • Habilitar Safe Links e Safe Attachments em soluções de segurança de e-mail.
  • Monitorar o uso suspeito de certificados e atividade de assinatura de curta duração.

Implicações para o Brasil

Considerando a ampla adoção de serviços da Microsoft no Brasil, esta operação representa um risco significativo para organizações brasileiras que utilizam assinaturas de código. A capacidade de distribuir malware assinado pode comprometer a confiança em atualizações legítimas e facilitar ataques de ransomware.

Empresas brasileiras devem priorizar a implementação de controles de segurança recomendados pela Microsoft e monitorar atividades suspeitas de assinatura de certificados.

O que os CISOs devem fazer agora

Os Chief Information Security Officers (CISOs) devem revisar imediatamente as políticas de segurança de assinatura de código em seus ambientes e garantir que todos os certificados de assinatura sejam verificados e monitorados. Além disso, é crucial implementar monitoramento para detectar tentativas de exploração da infraestrutura de assinatura.

A segurança da cadeia de suprimentos de software deve ser uma prioridade máxima, e as organizações devem estar preparadas para responder rapidamente a incidentes de segurança que possam comprometer seus ambientes de desenvolvimento.

Perguntas frequentes

Qual é o risco do Fox Tempest?
O Fox Tempest permite que cibercriminosos distribuam malware assinado, burlando controles de segurança e facilitando ataques de ransomware.

Como posso verificar se estou vulnerável?
Verifique se há certificados de assinatura suspeitos em seus ambientes e monitore atividades de assinatura de curta duração.

Devo atualizar imediatamente?
Sim, é altamente recomendável implementar os controles de segurança recomendados pela Microsoft o mais rápido possível para mitigar o risco de exploração.

Baseado em publicação original de Cyber Security News
Tags: #=fox-tempest #microsoft #malware #assinatura #ransomware #msaas #seguranca #mitigacao #ciso
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar