A Microsoft afirma ter desmantelado um serviço de assinatura de malware (MSaaS) chamado Fox Tempest, que ajudava os cibercriminosos a fazer com que o malware parecesse legítimo.
O serviço permitia que os clientes enviassem arquivos maliciosos para serem assinados digitalmente com certificados de curta duração emitidos pela Microsoft, fazendo com que o malware parecesse legítimo e tivesse mais chances de contornar as verificações de segurança.
O serviço da Fox Tempest foi desenvolvido em torno de um fluxo de trabalho de assinatura voltado para o cliente, no qual os cibercriminosos podiam enviar arquivos binários maliciosos para um portal, obtê-los assinados com certificados válidos por apenas 72 horas e, em seguida, receber arquivos que pareciam ter origem em uma fonte de software confiável.
A Microsoft afirma explicitamente que essa abordagem permitiu que o malware contornasse os controles de segurança e burlasse as defesas que, de outra forma, teriam sinalizado códigos suspeitos não assinados. Muitas ferramentas de segurança consideram os binários assinados mais confiáveis do que os não assinados, especialmente em ambientes que dependem de listas de permissão e da reputação do editor. O Fox Tempest se aproveitou dessa suposição utilizando certificados obtidos de forma fraudulenta para fazer com que o malware se passasse por software legítimo, aumentando assim a probabilidade de execução e de entrega bem-sucedida.
Um certificado com aparência confiável pode ajudar o malware a passar pela verificação inicial, especialmente quando combinado com engenharia social, anúncios pagos, SEO poisoning ou páginas de download falsas. Nesta campanha, a camada de assinatura ajudou instaladores maliciosos a se passarem por produtos como AnyDesk, Teams, PuTTY e Webex, o que é exatamente o tipo de abuso capaz de escapar das estruturas de controle baseadas em reputação e confiança.
Os certificados fraudulentos foram utilizados para disseminar ransomware e programas de roubo de informações. Os efeitos dessas campanhas de malware foram amplos, com ataques afetando os setores de saúde, educação, governo e serviços financeiros em vários países.
Como se manter seguro
A divulgação da Microsoft mostra como o crime cibernético evoluiu, passando dos “criadores de malware” para uma economia de serviços em que um grupo se especializa em gerar confiança e outros lucram com isso.
Para os defensores, a lição mais importante é não tratar a assinatura de código como um controle de segurança isolado.
Para os consumidores:
- Lembre-se de baixar software apenas do site oficial do fabricante, da Microsoft Store ou de outra fonte em que você já confie. Evite clicar em botões de download em links enviados por meio de publicações nas redes sociais, mensagens diretas ou e-mail.
- Desconfie dos resultados de pesquisa “patrocinados” e dos anúncios de aplicativos populares.
- Use uma solução antimalware atualizada e em tempo real que detecte comportamentos maliciosos, em vez de se basear apenas em assinaturas.
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
