A empresa de cibersegurança **Microsoft** anunciou esta semana que desmantelou com sucesso a **Fox Tempest**, um serviço sofisticado que fornecia a cibercriminosos capacidades de assinatura de código para legitimar malwares. Esta operação, detalhada em um recente processo judicial federal dos EUA, interrompe um elo crítico na cadeia de suprimentos do cibercrime. ### Fox Tempest: Assinatura de Malware como Serviço A **Fox Tempest** operou como um serviço de Assinatura de Malware como Serviço (MSaaS) desde maio de 2025, oferecendo a cibercriminosos a capacidade de assinar seus códigos maliciosos com certificados fraudulentos. Isso permitiu que malwares contornassem controles de segurança, disfarçando-se como software legítimo. De acordo com **Steven Masada**, conselheiro geral assistente da Unidade de Crimes Digitais da **Microsoft**, o serviço permitiu que cibercriminosos entregassem malwares e ransomware, infectando milhares de máquinas e comprometendo redes em todo o mundo. "Softwares maliciosos que deveriam ter sido bloqueados ou sinalizados por antivírus e outras salvaguardas tinham maior probabilidade de serem abertos, executados ou passarem por verificações de segurança — essencialmente permitindo que o malware se escondesse à vista de todos", declarou. ### Armamentizando a Assinatura de Código Legítima A **Fox Tempest** abusou da Assinatura de Artefatos da **Microsoft**, projetada para verificar a legitimidade do software. Ao criar certificados de assinatura de código fraudulentos e de curta duração, a plataforma permitiu que malwares se assemelhassem a aplicativos legítimos como **AnyDesk**, **Teams**, **Putty** e **Webex**, contornando medidas de segurança e aumentando a probabilidade de execução bem-sucedida. Aparentemente, afiliados de ransomware associados a grupos como **Rhysida**, **INC**, **Qilin** e **Akira** utilizaram a **Fox Tempest** para legitimar seus malwares. Eles carregavam seus códigos maliciosos na plataforma, obtinham certificados assinados e, em seguida, distribuíam o malware através de sites falsos projetados para imitar plataformas legítimas de download de software. ### Resposta da Microsoft A **Microsoft** apreendeu o site da **Fox Tempest**, desativou centenas de máquinas virtuais e bloqueou o acesso ao código subjacente. Eles também revogaram mais de 1.000 certificados de assinatura de código atribuídos à **Fox Tempest**. "Quando atacantes podem fazer softwares maliciosos parecerem legítimos, isso mina como as pessoas e os sistemas decidem o que é seguro. Interromper essa capacidade é fundamental para aumentar o custo do cibercrime", explicou **Masada**. ### O Modelo de Negócios MSaaS A **Microsoft** destacou que a **Fox Tempest** operava como uma organização bem financiada, com departamentos responsáveis por infraestrutura, relações com clientes e transações financeiras. A plataforma criou mais de mil certificados e estabeleceu centenas de tenants e assinaturas do **Azure** para suportar suas operações. A análise de pagamentos de criptomoedas revelou que a **Fox Tempest** recebeu milhões de dólares de afiliados de ransomware. O serviço foi utilizado em ataques contra organizações nos EUA, China, França e Índia. Este modelo MSaaS sinaliza uma mudança no ecossistema de cibercriminosos, onde serviços avançados são oferecidos em escala. Ao contrário de provedores de infraestrutura de menor custo, a **Fox Tempest** demonstra que atores sofisticados estão dispostos a investir pesadamente em capacidades que aumentam as taxas de sucesso de ataques e reduzem as probabilidades de detecção. <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>