Microsoft afirma que ha desmantelado un servicio de firma de malware (MSaaS) denominado «Fox Tempest», que ayudaba a los ciberdelincuentes a hacer que el malware pareciera legítimo.
El servicio permitía a los clientes enviar archivos maliciosos para que fueran firmados digitalmente con certificados de corta duración emitidos por Microsoft, lo que hacía que el malware pareciera legítimo y aumentaba las posibilidades de que eludiera los controles de seguridad.
El servicio de Fox Tempest se diseñó en torno a un flujo de trabajo de firma orientado al cliente, en el que los ciberdelincuentes podían subir archivos binarios maliciosos a un portal, hacer que se firmaran con certificados válidos únicamente durante 72 horas y, a continuación, recibir archivos que parecían proceder de una fuente de software de confianza.
Microsoft afirma explícitamente que este método permitió al malware eludir los controles de seguridad y burlar las defensas que, de otro modo, habrían detectado el código sospechoso sin firmar. Muchas herramientas de seguridad consideran que los binarios firmados son más fiables que los que no lo están, especialmente en entornos que se basan en listas de permitidos y en la reputación del editor. Fox Tempest se aprovechó de esa suposición utilizando certificados obtenidos de forma fraudulenta para que el malware pasara por software legítimo, lo que aumentó la probabilidad de que se ejecutara y se instalara con éxito.
Un certificado que inspire confianza puede ayudar al malware a eludir el control inicial, sobre todo si se combina con ingeniería social, anuncios pagados, envenenamiento de SEO o páginas de descarga falsas. En esta campaña, la capa de firma ayudó a los instaladores maliciosos a hacerse pasar por productos como AnyDesk, Teams, PuTTY y Webex, que es precisamente el tipo de abuso que puede burlar los marcos de control basados en la reputación y la confianza.
Los certificados falsos se utilizaron para propagar ransomware y programas de robo de información. Las repercusiones de estas campañas de malware fueron amplias, ya que los ataques afectaron a los sectores sanitario, educativo, gubernamental y de servicios financieros en varios países.
Cómo mantenerse seguro
La información revelada por Microsoft pone de manifiesto cómo la ciberdelincuencia ha evolucionado más allá de los «creadores de malware» para convertirse en una economía de servicios en la que unos grupos se especializan en generar confianza y otros la monetizan.
Para los responsables de la seguridad, la lección más importante es no considerar la firma de código como un control de seguridad aislado.
Para los consumidores:
- Recuerda descargar software únicamente desde el sitio web oficial del fabricante, la Tienda Microsoft u otra fuente en la que ya confíes. Evita hacer clic en los botones de descarga de los enlaces que se envían a través de publicaciones en redes sociales, mensajes directos o correo electrónico.
- Desconfía de los resultados de búsqueda «patrocinados» y de los anuncios de aplicaciones populares.
- Utiliza una solución antimalware actualizada y en tiempo real que detecte comportamientos maliciosos en lugar de limitarse a buscar firmas.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
