- A Microsoft derrubou uma operação de malware-as-a-service usada para assinar códigos maliciosos e facilitar ataques de ransomware, ligada ao grupo Fox Tempest ativo desde maio de 2025.
- O serviço abusava do Artifact Signing para fazer malwares parecerem softwares legítimos.
- Criminosos conseguiam contornar controles de certificados digitais que validam a origem de arquivos executáveis.
- A operação OpFauxSign resultou na apreensão do domínio signspace[.]cloud, na desativação de centenas de máquinas virtuais e no bloqueio de acesso ao site que hospedava o código utilizado no esquema.
- A Microsoft revogou certificados obtidos de forma fraudulenta e o serviço permitia que clientes enviassem arquivos para assinatura digital, permitindo que binários se passassem por aplicativos conhecidos como AnyDesk, Microsoft Teams, PuTTY e Cisco Webex.
A Microsoft anunciou a derrubada de uma operação de malware-as-a-service usada para assinar códigos maliciosos e facilitar ataques de ransomware em diferentes países. A ação atingiu uma infraestrutura associada ao grupo Fox Tempest, ativo desde maio de 2025. O serviço explorava o sistema Artifact Signing para tornar malwares parecidos com softwares legítimos.
De acordo com a empresa, criminosos conseguiam contornar controles que validam a origem de arquivos executáveis por meio de certificados digitais. A operação, chamada OpFauxSign, resultou na apreensão do domínio signspace.cloud, na desativação de centenas de máquinas virtuais e no bloqueio de acesso a um site que hospedava o código utilizado pelo esquema.
A Microsoft também revogou certificados obtidos de maneira fraudulenta para sustentar a assinatura dos binários. O serviço permitia que clientes criminosos enviassem arquivos para assinatura digital e, após isso, os executáveis podiam se passar por aplicativos amplamente usados, como AnyDesk, Microsoft Teams, PuTTY e Cisco Webex.
Segundo a empresa, a assinatura de código era o elo central que aumentava a confiança dos usuários na instalação de programas potencialmente nocivos. As autoridades não informaram números oficiais de vítimas ou de países impactados, mas a empresa destacou que a operação tinha alcance internacional.
As medidas de resposta incluem o fechamento de infraestrutura associada ao grupo, a interrupção de atividades de assinatura e a limpeza de certificados comprometidos. A Microsoft não informou se houve cooperação com outras autoridades ou empresas do setor de segurança.
Entre na conversa da comunidade