A Microsoft divulgou uma ação judicial em nível global contra o grupo Fox Tempest, que estava por trás de um esquema conhecido como ‘Malware Signing-as-a-Service’ (MSaaS). Esse sistema permitia que criminosos cibernéticos distribuíssem malwares disfarçados de softwares legítimos. Informações do portal Canaltech indicam que a operação criminosa oferecia certificados digitais falsos, fazendo com que arquivos maliciosos fossem percebidos como confiáveis tanto por usuários quanto por sistemas de segurança.
Desde maio de 2025, o grupo operava vendendo certificados digitais sob demanda para organizações criminosas, incluindo aqueles que atuam com ransomware. Isso possibilitava que os cibercriminosos assinassem seus malwares como se fossem aplicativos legítimos, desviando alertas de segurança e aumentando a confiança dos usuários na instalação desses arquivos prejudiciais. A operação dispunha ainda de suporte via Telegram, sistema de filas premium e VPS configuradas, além de um processo simplificado para upload de arquivos e opções de pagamento variadas.
De acordo com investigações realizadas pela Microsoft, o custo do serviço variava: US$ 5 mil na fila padrão, US$ 7,5 mil para atendimento prioritário e US$ 9,5 mil para serviços acelerados. Maurice Mason, investigador principal da Unidade de Crimes Digitais da Microsoft (DCU), enfatizou que a exploração do abuso na assinatura de código tornou-se uma prática escalável, transformando o cibercrime em uma economia de serviços digitais altamente profissionalizada.
O Fox Tempest utilizava o Artifact Signing, um serviço disponibilizado pela Microsoft para assinatura digital de aplicações, visando distribuir softwares fraudulentos que imitavam programas populares como instaladores do Microsoft Teams e ferramentas como NordVPN. O ciclo do ataque envolvia a criação de arquivos com assinaturas fraudulentas, sua disseminação através de anúncios maliciosos e SEO poisoning, o download pelo usuário desavisado, a instalação silenciosa do malware e subsequentes infecções por ransomware.
Entre os grupos associados ao uso da infraestrutura do Fox Tempest estavam os conhecidos atacantes relacionados a ransomware como Vanilla Tempest, Storm-0251 e Storm-0249. O Brasil se destacou como um dos países mais impactados pela operação criminosa, ocupando a quinta posição entre os principais alvos, atrás apenas dos Estados Unidos, França, Índia e China.
No âmbito da ação legal, a Microsoft garantiu uma ordem judicial nos Estados Unidos com o intuito de desmantelar a estrutura utilizada pelo grupo. A empresa transferiu domínios maliciosos para sistemas sob seu controle e suspendeu repositórios vinculados à operação. Essa ação foi realizada em cooperação com o FBI, Europol e outros parceiros internacionais e resultou na desativação de cerca de mil contas ou ambientes associados ao esquema criminoso.
Steven Masada, advogado assistente geral da DCU, sublinhou a importância da colaboração entre a indústria tecnológica, autoridades certificadoras, fornecedores de segurança e as forças policiais para enfrentar eficazmente o cibercrime. O caso do Fox Tempest ilustra uma nova fase no cibercrime, que não se limita à invasão de sistemas mas também explora a própria estrutura de confiança inerente à internet.
Inscreva-se na Newsletter de O Cafezinho
Receba nossas análises e as principais notícias diárias do Brasil e do Sul Global.
document.getElementById(‘cafezinho-mc-form-ajax’).addEventListener(‘submit’, function(e) {e.preventDefault();var email = document.getElementById(‘mce-EMAIL-ajax’).value;var responses = document.getElementById(‘mce-responses-ajax’);var button = document.getElementById(‘mc-btn-ajax’);if(!email) {responses.innerHTML = “Por favor, insira um e-mail válido.“;return;}button.innerText = “Enviando…”;button.style.opacity = “0.7”;button.disabled = true;responses.innerHTML = “”;var formAction = this.action.replace(‘/post?’, ‘/post-json?’);var formData = new FormData(this);var url = formAction;for (var pair of formData.entries()) {url += “&” + encodeURIComponent(pair[0]) + “=” + encodeURIComponent(pair[1]);}var script = document.createElement(‘script’);var callbackName = ‘mailchimpCallback’ + new Date().getTime();window[callbackName] = function(data) {button.innerText = “ASSINAR”;button.style.opacity = “1”;button.disabled = false;if (data.result === ‘success’) {responses.innerHTML = “✅ Inscrição confirmada com sucesso! Bem-vindo(a) ao O Cafezinho.“;document.getElementById(‘mce-EMAIL-ajax’).value = ”;} else {var msg = data.msg || “”;if(msg.includes(‘is already subscribed’)) {msg = “⚠ Este e-mail já está assinado na nossa newsletter.”;} else if(msg.includes(‘too many’)) {msg = “⚠ Muitas tentativas. Tente novamente mais tarde.”;} else if(msg.includes(‘domain’)) {msg = “⚠ O domínio do e-mail é inválido.”;} else {msg = “⚠ Erro: ” + msg;}msg = msg.replace(/^[0-9]+s-s/, ”);responses.innerHTML = “” + msg + ““;}delete window[callbackName];document.body.removeChild(script);};url = url + ‘&c=’ + callbackName;script.src = url;document.body.appendChild(script);});
