Microsoft desmantela operação de assinatura de malware como serviço
A Microsoft anunciou a interrupção de uma operação de malware-signing-as-a-service (MSaaS) que explorava seu serviço de assinatura de artefatos para gerar certificados de assinatura de código fraudulentos, utilizados por gangues de ransomware e outros cibercriminosos. O grupo, identificado como Fox Tempest, criou mais de 1.000 certificados e centenas de assinaturas na plataforma Azure Artifact Signing, permitindo que malware fosse assinado digitalmente e reconhecido como software legítimo. A operação foi desmantelada em maio de 2026, com a ajuda de parceiros da indústria, e resultou na revogação de mais de mil certificados. A Microsoft também bloqueou o domínio signspace[.]cloud, utilizado para a operação, e tomou medidas contra a infraestrutura que suportava a plataforma criminosa. O malware assinado foi associado a diversas campanhas de ransomware, incluindo Rhysida e BlackByte, e permitiu que os atacantes disfarçassem software malicioso como aplicativos legítimos, como Microsoft Teams e AnyDesk. A operação gerou milhões de dólares em lucros e utilizou identidades roubadas para obter os certificados de assinatura.