Microsoft Confisca Domínio de Serviço Usado para Assinatura de Malware
A Microsoft desmantelou uma plataforma de assinatura de malware (MSaaS) que permitia a criminosos mascarar software malicioso como aplicativos legítimos. A operação, chamada OpFauxSign, resultou na apreensão do domínio signspace[.]cloud e na anulação de certificados de assinatura de código falsificados.
MundiX News·23 de maio de 2026·3 min de leitura·👁 8 views
A Microsoft anunciou a interrupção de um serviço de assinatura de malware (MSaaS) que criminosos usavam para assinar e, assim, disfarçar software malicioso como aplicativos legítimos. A plataforma signspace[.]cloud, que abusava do serviço de assinatura de artefatos em nuvem (anteriormente Azure Trusted Signing), foi desmantelada em uma operação liderada pela Microsoft.
De acordo com especialistas da Microsoft Threat Intelligence, o serviço era operado pelo grupo criminoso financeiramente motivado Fox Tempest, ativo desde pelo menos maio de 2025. Os criminosos usavam o Artifact Signing para emitir certificados de assinatura de código falsificados, que funcionavam por cerca de 72 horas. Esses certificados permitiam que o malware se apresentasse como software confiável para o Windows e soluções de segurança. A operação OpFauxSign, com o apoio da Digital Crimes Unit (DCU) da Microsoft e parceiros da indústria, resultou na apreensão do domínio signspace[.]cloud, no desligamento de centenas de máquinas virtuais associadas à infraestrutura do serviço e no bloqueio do acesso aos locais onde seu código-fonte estava hospedado. A empresa também entrou com uma ação no Tribunal Distrital do Distrito Sul de Nova York.
A Microsoft estima que, para manter suas operações, os membros do Fox Tempest criaram mais de 1.000 certificados de assinatura de código, bem como centenas de locatários e contas do Azure. A empresa enfatiza que todos os certificados detectados relacionados a esta campanha maliciosa já foram revogados. Analistas indicam que o serviço era amplamente utilizado por operadores de ransomware e outros grupos criminosos. A Microsoft associa a plataforma à disseminação de malware como Oyster, Lumma Stealer e Vidar, bem como a ataques de ransomware como Rhysida, Akira, INC, Qilin e BlackByte. Entre os clientes do Fox Tempest, os pesquisadores listam os grupos Vanilla Tempest (associado ao INC Ransomware), Storm-0501, Storm-0249 e Storm-2561.
Os hackers carregavam arquivos maliciosos na plataforma e recebiam binários assinados, disfarçados de Microsoft Teams, AnyDesk, PuTTY ou Cisco Webex. Por exemplo, em um dos casos descritos pela Microsoft, as vítimas baixavam um instalador falso do Teams por meio de anúncios em mecanismos de busca. Após a execução, o sistema percebia o carregador de malware Oyster como software legítimo, graças ao certificado da Microsoft, o que permitia contornar os mecanismos de proteção do Windows e implantar o ransomware Rhysida. Acredita-se que os criminosos usaram dados roubados de cidadãos dos EUA e do Canadá para passar pelas verificações de identidade ao obter os certificados. A Microsoft observa que o Fox Tempest adaptava constantemente sua infraestrutura em resposta às tentativas de bloqueio. Por exemplo, a partir de fevereiro de 2026, o serviço começou a fornecer aos clientes máquinas virtuais pré-configuradas baseadas em Cloudzy, onde os criminosos carregavam malware e recebiam arquivos já assinados. A promoção da plataforma era feita através do canal do Telegram EV Certs for Sale by SamCodeSign. O custo de acesso variava de US$ 5.000 a US$ 9.000 em Bitcoin. De acordo com analistas da Microsoft, o serviço gerou milhões de dólares em lucro para seus organizadores e representava um negócio bem organizado com sua própria infraestrutura, suporte ao cliente e sistema financeiro.
A Microsoft anunciou a interrupção de um serviço de assinatura de malware (MSaaS) que criminosos usavam para assinar e, assim, disfarçar software malicioso como aplicativos legítimos. A plataforma signspace[.]cloud, que abusava do serviço de assinatura de artefatos em nuvem (anteriormente Azure Trusted Signing), foi desmantelada em uma operação liderada pela Microsoft.
De acordo com especialistas da Microsoft Threat Intelligence, o serviço era operado pelo grupo criminoso financeiramente motivado Fox Tempest, ativo desde pelo menos maio de 2025. Os criminosos usavam o Artifact Signing para emitir certificados de assinatura de código falsificados, que funcionavam por cerca de 72 horas. Esses certificados permitiam que o malware se apresentasse como software confiável para o Windows e soluções de segurança. A operação OpFauxSign, com o apoio da Digital Crimes Unit (DCU) da Microsoft e parceiros da indústria, resultou na apreensão do domínio signspace[.]cloud, no desligamento de centenas de máquinas virtuais associadas à infraestrutura do serviço e no bloqueio do acesso aos locais onde seu código-fonte estava hospedado. A empresa também entrou com uma ação no Tribunal Distrital do Distrito Sul de Nova York.
A Microsoft estima que, para manter suas operações, os membros do Fox Tempest criaram mais de 1.000 certificados de assinatura de código, bem como centenas de locatários e contas do Azure. A empresa enfatiza que todos os certificados detectados relacionados a esta campanha maliciosa já foram revogados. Analistas indicam que o serviço era amplamente utilizado por operadores de ransomware e outros grupos criminosos. A Microsoft associa a plataforma à disseminação de malware como Oyster, Lumma Stealer e Vidar, bem como a ataques de ransomware como Rhysida, Akira, INC, Qilin e BlackByte. Entre os clientes do Fox Tempest, os pesquisadores listam os grupos Vanilla Tempest (associado ao INC Ransomware), Storm-0501, Storm-0249 e Storm-2561.
Os hackers carregavam arquivos maliciosos na plataforma e recebiam binários assinados, disfarçados de Microsoft Teams, AnyDesk, PuTTY ou Cisco Webex. Por exemplo, em um dos casos descritos pela Microsoft, as vítimas baixavam um instalador falso do Teams por meio de anúncios em mecanismos de busca. Após a execução, o sistema percebia o carregador de malware Oyster como software legítimo, graças ao certificado da Microsoft, o que permitia contornar os mecanismos de proteção do Windows e implantar o ransomware Rhysida. Acredita-se que os criminosos usaram dados roubados de cidadãos dos EUA e do Canadá para passar pelas verificações de identidade ao obter os certificados. A Microsoft observa que o Fox Tempest adaptava constantemente sua infraestrutura em resposta às tentativas de bloqueio. Por exemplo, a partir de fevereiro de 2026, o serviço começou a fornecer aos clientes máquinas virtuais pré-configuradas baseadas em Cloudzy, onde os criminosos carregavam malware e recebiam arquivos já assinados. A promoção da plataforma era feita através do canal do Telegram EV Certs for Sale by SamCodeSign. O custo de acesso variava de US$ 5.000 a US$ 9.000 em Bitcoin. De acordo com analistas da Microsoft, o serviço gerou milhões de dólares em lucro para seus organizadores e representava um negócio bem organizado com sua própria infraestrutura, suporte ao cliente e sistema financeiro.
