### Serviço Malicioso da Fox Tempest **Microsoft** anunciou a desarticulação da **Fox Tempest**, um ator de ameaça que fornecia um esquema de assinatura de malware como serviço (MSaaS) ativo desde maio de 2025. Este esquema permitia que cibercriminosos disfarçassem malware como software legítimo usando certificados de assinatura de código obtidos fraudulentamente. "Para desarticular o serviço, apreendemos o site da **Fox Tempest**, signspace[.]cloud, tiramos centenas das máquinas virtuais que executavam a operação do ar e bloqueamos o acesso a um site que hospedava o código subjacente", disse Steven Masada, conselheiro geral assistente da Unidade de Crimes Digitais da **Microsoft**. ### Implantação de Ransomware e Malware A operação facilitou a implantação do ransomware **Rhysida** por atores de ameaça como **Vanilla Tempest**, juntamente com outras famílias de malware, incluindo **Oyster**, **Lumma Stealer** e **Vidar**. Isso destaca o papel significativo da **Fox Tempest** no ecossistema do cibercrime. Conexões foram estabelecidas entre o ator de ameaça e afiliados ligados a cepas proeminentes de ransomware como **INC**, **Qilin**, **BlackByte** e **Akira**. Esses ataques visaram os setores de saúde, educação, governo e serviços financeiros nos EUA, França, Índia e China. ### Abuso da Assinatura de Artefatos A **Assinatura de Artefatos** (anteriormente Azure Trusted Signing), a solução de assinatura gerenciada da **Microsoft**, foi abusada pela **Fox Tempest** para gerar certificados de assinatura de código fraudulentos de curta duração. Esses certificados, válidos por apenas 72 horas, permitiram que eles entregassem malware assinado e confiável, contornando os controles de segurança. "Para obter certificados assinados legítimos através da **Assinatura de Artefatos**, o solicitante deve passar por processos detalhados de validação de identidade, de acordo com credenciais verificáveis padrão da indústria (VC), o que sugere que o ator de ameaça muito provavelmente usou identidades roubadas baseadas nos Estados Unidos e Canadá para se mascarar como uma entidade legítima e obter as credenciais digitais necessárias para assinatura", explicou a **Microsoft**. O site SignSpace, construído sobre a **Assinatura de Artefatos**, permitiu a assinatura segura de arquivos através de um painel de administração e uma página de usuário, aproveitando assinaturas do Azure, certificados e um banco de dados estruturado para gerenciar usuários e arquivos. ### Detalhes e Custos da Operação O serviço permitia que clientes cibercriminosos fizessem upload de arquivos maliciosos para assinatura de código usando certificados obtidos fraudulentamente pela **Fox Tempest**. Isso permitiu que malware e ransomware se mascarassem como software legítimo, como AnyDesk, **Microsoft Teams**, PuTTY e **Cisco Webex**. O serviço foi precificado entre $5.000 e $9.000. ### Evolução da Infraestrutura A partir de fevereiro de 2026, a **Fox Tempest** passou a fornecer aos clientes máquinas virtuais (VMs) pré-configuradas hospedadas na **Cloudzy**, otimizando a entrega de binários assinados. Essa evolução reduziu o atrito para os clientes e melhorou a segurança operacional para a **Fox Tempest**. ### Táticas e Contramedidas Atores de ameaça como **Vanilla Tempest** distribuíram binários assinados através do serviço por meio de anúncios comprados legitimamente, redirecionando usuários que procuravam por **Microsoft Teams** para páginas de download falsas. Isso abriu caminho para a implantação do **Oyster** (também conhecido como Broomstick ou CleanUpLoader), que entrega o ransomware **Rhysida**. A **Microsoft** tem combatido ativamente as táticas da **Fox Tempest**, desativando contas fraudulentas e revogando certificados obtidos ilicitamente. Documentos judiciais revelam que a **Microsoft** trabalhou com uma "fonte cooperativa" para comprar e testar o serviço entre fevereiro e março de 2026. "Quando os atacantes conseguem fazer o software malicioso parecer legítimo, isso mina a forma como as pessoas e os sistemas decidem o que é seguro", disse a **Microsoft**. "Desarticular essa capacidade é fundamental para aumentar o custo do cibercrime."