Microsoft derruba esquema que transformava malware em software “confiável”
Por Fernanda Santos | •
A Microsoft anunciou nesta terça-feira uma ação global contra o Fox Tempest, grupo ligado a um esquema de “Malware Signing-as-a-Service” (MSaaS) que ajudava cibercriminosos a distribuir malwares disfarçados de softwares legítimos.
- Vazamento de dados: como uma empresa deve responder a um incidente de segurança?
- Como a Microsoft quer reinventar a segurança digital na era da IA
Segundo a empresa, a operação funcionava como uma espécie de plataforma clandestina de assinatura digital, permitindo que criminosos comprassem certificados fraudulentos para fazer arquivos maliciosos parecerem confiáveis aos olhos de usuários e sistemas de segurança.
O caso chama atenção não apenas pela sofisticação técnica, mas pela estrutura operacional do grupo. Durante uma mesa-redonda com jornalistas internacionais acompanhada pelo Canaltech, investigadores da Microsoft descreveram uma operação que se aproximava mais de um serviço digital organizado do que do estereótipo tradicional de grupos hackers.
“Os certificados assinados permitiam que os atacantes burlassem controles de segurança e aumentassem as taxas de infecção”, explicou Maurice Mason, Principal Cybercrime Investigator da Microsoft Digital Crimes Unit (DCU).
Como funcionava o esquema
De acordo com a Microsoft, o Fox Tempest operava desde pelo menos desde maio de 2025 oferecendo certificados digitais fraudulentos sob demanda para outros grupos criminosos, incluindo operadores de ransomware.
Na prática, os criminosos conseguiam assinar malwares como se fossem programas legítimos, evitar alertas de segurança, aumentar a confiança dos usuários e facilitar a instalação de arquivos maliciosos.
A operação possuía:
- chats de suporte via Telegram
- sistema de filas premium
- VPS configuradas
- upload simplificado de arquivos
- planos de pagamento
- assinatura “sob demanda
Os investigadores também revelaram que havia modelos de prioridade para clientes onde o serviço cobrava:
- US$ 5 mil na fila padrão
- US$ 7,5 mil para prioridade
- US$ 9,5 mil para atendimento acelerado
Para a Microsoft, o caso mostra uma mudança estrutural no mercado de cibercrime. “O abuso de assinatura de código se tornou escalável”, afirmou Mason durante a apresentação.
Malware com aparência legítima
Segundo a investigação, o esquema explorava justamente uma ferramenta criada para aumentar confiança em softwares legítimos: o Artifact Signing (antigo Azure Trusted Signing), serviço da Microsoft usado para assinatura digital de aplicações
Os criminosos então distribuíam softwares falsos que imitavam aplicativos conhecidos, incluindo instaladores do Microsoft Teams e ferramentas como NordVPN.
O fluxo do ataque envolvia:
- criação de arquivos assinados fraudulentamente
- distribuição via anúncios maliciosos e SEO poisoning
- download do arquivo pela vítima
- instalação silenciosa do malware
- posterior infecção por ransomware
Segundo a Microsoft, grupos ligados a ransomware como Vanilla Tempest (Rhysida), Storm-0251 e Storm-0249 estavam entre os atores associados ao uso da infraestrutura do Fox TempestBrasil está entre os países mais afetados
A empresa também apresentou um mapa global dos países mais impactados pela operação. O Brasil aparece na quinta posição entre os principais alvos do esquema.
O ranking inclui:
- Estados Unidos
- França
- Índia
- China
- Brasil
Para os investigadores, o crescimento da digitalização global tem ampliado o alcance desse tipo de operação.
Microsoft derrubou mais de mil contas ligadas ao esquema
Como parte da ação, a Microsoft informou que:
Como parte da operação, a Microsoft informou que obteve uma ordem judicial nos Estados Unidos para derrubar a infraestrutura usada pelo grupo, transferiu domínios maliciosos para sistemas controlados pela empresa e suspendeu repositórios ligados à operação. A ação também contou com colaboração do FBI, Europol e outros parceiros internacionais.
Segundo a companhia, aproximadamente mil contas, assinaturas ou ambientes ligados ao esquema foram “desabilitados, desautorizados ou removidos”.
A empresa também afirmou que implementou novos controles internos para impedir a reutilização da infraestrutura por outros grupos.
O que muda depois do Fox Tempest
O principal ponto destacado pela Microsoft foi o alerta sobre a transformação do cibercrime em uma economia de serviços digitais altamente profissionalizada.
Mais do que desenvolver malware, grupos como o Fox Tempest passaram a vender infraestrutura, suporte e escalabilidade para outros criminosos. A própria Microsoft definiu o fenômeno como uma “evolução do abuso de assinatura de código”.
“O combate efetivo exige colaboração entre indústria, autoridades certificadoras, fornecedores de segurança e forças policiais”, afirmou Steven Masada, Assistant General Counsel da DCU.
O caso também levanta um alerta importante para usuários e empresas: sinais tradicionais de confiança digital como certificados válidos e softwares assinados já não são suficientes para garantir legitimidade.
O caso do Fox Tempest mostra que a nova fronteira do cibercrime não é apenas invadir sistemas, mas explorar a própria infraestrutura de confiança da internet.