A Microsoft afirma ter desmantelado um serviço de assinatura de malware (MSaaS) denominado Fox Tempest, que ajudava os cibercriminosos a fazer com que o malware parecesse legítimo.
O serviço permitia que os clientes enviassem ficheiros maliciosos para serem assinados digitalmente com certificados de curta duração emitidos pela Microsoft, fazendo com que o malware parecesse legítimo e tivesse mais probabilidades de contornar as verificações de segurança.
O serviço da Fox Tempest foi concebido em torno de um fluxo de trabalho de assinatura voltado para o cliente, no qual os cibercriminosos podiam carregar ficheiros binários maliciosos num portal, fazê-los assinar com certificados válidos apenas por 72 horas e, em seguida, receber ficheiros que pareciam provir de uma fonte de software de confiança.
A Microsoft afirma explicitamente que esta abordagem permitiu que o malware contornasse os controlos de segurança e as defesas que, de outra forma, teriam sinalizado código suspeito não assinado. Muitas ferramentas de segurança consideram os ficheiros binários assinados mais fiáveis do que os não assinados, especialmente em ambientes que dependem de listas de permissão e da reputação do editor. O Fox Tempest abusou dessa suposição utilizando certificados obtidos de forma fraudulenta para fazer com que o malware se dissimulasse como software legítimo, aumentando assim a probabilidade de execução e de entrega bem-sucedida.
Um certificado com aparência de confiança pode ajudar o malware a passar pela verificação inicial, especialmente quando combinado com engenharia social, anúncios pagos, SEO poisoning ou páginas de download falsas. Nesta campanha, a camada de assinatura ajudou instaladores maliciosos a fazerem-se passar por produtos como o AnyDesk, Teams, o PuTTY e o Webex, o que é exatamente o tipo de abuso que pode escapar às estruturas de controlo baseadas na reputação e na confiança.
Os certificados fraudulentos foram utilizados para propagar ransomware e programas de roubo de dados. O impacto destas campanhas de malware foi generalizado, com ataques que afetaram os setores da saúde, da educação, da administração pública e dos serviços financeiros em vários países.
Como se manter seguro
A revelação da Microsoft mostra como o cibercrime evoluiu para além dos «autores de malware», transformando-se numa economia de serviços em que um grupo se especializa na criação de confiança e outros a rentabilizam.
Para os responsáveis pela segurança, a lição mais importante é não considerar a assinatura de código como um controlo de segurança isolado.
Para os consumidores:
- Lembre-se de descarregar software apenas a partir do site oficial do fabricante, da Microsoft Store ou de outra fonte em que já confie. Evite clicar em botões de descarregamento em links enviados através de publicações nas redes sociais, mensagens diretas ou e-mail.
- Desconfie dos resultados de pesquisa «patrocinados» e dos anúncios de aplicações populares.
- Utilize uma solução antimalware atualizada e em tempo real que detete comportamentos maliciosos, em vez de se basear apenas em assinaturas.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
