A Microsoft lançou uma ação judicial de alcance global contra o Fox Tempest, um coletivo que operava um esquema de ‘Malware Signing-as-a-Service’ (MSaaS), permitindo que criminosos cibernéticos espalhassem malwares disfarçados de softwares legítimos. Conforme informações do Canaltech, a operação clandestina oferecia certificados digitais falsificados, fazendo com que arquivos maliciosos parecessem confiáveis tanto para usuários quanto para sistemas de segurança.
Desde maio de 2025, o esquema vendia certificados digitais sob demanda para diversas organizações criminosas, incluindo aquelas que atuam com ransomware. Com isso, os cibercriminosos conseguiam assinar seus malwares como se fossem programas autorizados, evitando alertas de segurança e aumentando a credibilidade aos olhos dos usuários, facilitando assim a instalação dos arquivos prejudiciais. O suporte da operação era realizado via Telegram e incluía uma estrutura de filas premium, servidores virtuais privados (VPS) configurados, upload simplificado de arquivos e diversas opções de pagamento.
Uma investigação da Microsoft revelou que o serviço oferecia preços variados: US$ 5 mil na fila padrão, US$ 7,5 mil para atendimento prioritário e US$ 9,5 mil para serviços rápidos. Maurice Mason, investigador sênior da Unidade de Crimes Cibernéticos da Microsoft (DCU), comentou que a exploração indevida da assinatura de código se tornou uma prática escalável, transformando o cibercrime em um setor profissionalizado dentro da economia digital.
O Fox Tempest utilizava o Artifact Signing, um recurso disponibilizado pela Microsoft para a assinatura digital de aplicações, com o intuito de disseminar softwares fraudulentos que imitavam aplicativos populares como instaladores do Microsoft Teams e serviços como NordVPN. O processo do ataque envolvia criar arquivos assinados falsamente, distribuí-los por meio de anúncios maliciosos e técnicas de SEO poisoning, levando as vítimas a baixar e instalar silenciosamente malware antes de serem infectadas por ransomware.
Entre os grupos relacionados ao uso da infraestrutura do Fox Tempest destacam-se afiliados ao ransomware como Vanilla Tempest, Storm-0251 e Storm-0249. O Brasil figurou entre os países mais impactados pela operação, ocupando a quinta posição entre os principais alvos após Estados Unidos, França, Índia e China.
No âmbito dessa ação judicial, a Microsoft obteve uma ordem nos Estados Unidos visando desmantelar a infraestrutura utilizada pelo grupo; transferiu domínios maliciosos para sua própria gestão e suspendeu repositórios associados à operação. A iniciativa foi realizada em conjunto com o FBI, Europol e outros parceiros internacionais, resultando na desativação de cerca de mil contas ou ambientes envoltos no esquema.
Steven Masada, advogado assistente geral da DCU, enfatizou a importância da colaboração entre indústrias, autoridades certificadoras e forças policiais no combate eficaz ao cibercrime. O caso do Fox Tempest ilustra uma nova fase do cibercrime que não apenas invade sistemas mas também explora as próprias estruturas confiáveis da internet.
Inscreva-se na Newsletter de O Cafezinho
Receba nossas análises e as principais notícias diárias do Brasil e do Sul Global.
document.getElementById(‘cafezinho-mc-form-ajax’).addEventListener(‘submit’, function(e) {e.preventDefault();var email = document.getElementById(‘mce-EMAIL-ajax’).value;var responses = document.getElementById(‘mce-responses-ajax’);var button = document.getElementById(‘mc-btn-ajax’);if(!email) {responses.innerHTML = “Por favor, insira um e-mail válido.“;return;}button.innerText = “Enviando…”;button.style.opacity = “0.7”;button.disabled = true;responses.innerHTML = “”;var formAction = this.action.replace(‘/post?’, ‘/post-json?’);var formData = new FormData(this);var url = formAction;for (var pair of formData.entries()) {url += “&” + encodeURIComponent(pair[0]) + “=” + encodeURIComponent(pair[1]);}var script = document.createElement(‘script’);var callbackName = ‘mailchimpCallback’ + new Date().getTime();window[callbackName] = function(data) {button.innerText = “ASSINAR”;button.style.opacity = “1”;button.disabled = false;if (data.result === ‘success’) {responses.innerHTML = “✅ Inscrição confirmada com sucesso! Bem-vindo(a) ao O Cafezinho.“;document.getElementById(‘mce-EMAIL-ajax’).value = ”;} else {var msg = data.msg || “”;if(msg.includes(‘is already subscribed’)) {msg = “⚠ Este e-mail já está assinado na nossa newsletter.”;} else if(msg.includes(‘too many’)) {msg = “⚠ Muitas tentativas. Tente novamente mais tarde.”;} else if(msg.includes(‘domain’)) {msg = “⚠ O domínio do e-mail é inválido.”;} else {msg = “⚠ Erro: ” + msg;}msg = msg.replace(/^[0-9]+s-s/, ”);responses.innerHTML = “” + msg + ““;}delete window[callbackName];document.body.removeChild(script);};url = url + ‘&c=’ + callbackName;script.src = url;document.body.appendChild(script);});