A revelação da Microsoft sobre a operação de "malware-signing-as-a-service" conhecida como Fox Tempest volta a colocar no centro a vulnerabilidade mais crítica do ecossistema de software moderno: a confiança centralizada em certificados e serviços assinados. A Microsoft afirma ter identificado e desarticulado uma rede que explodiu seu serviço assinado na nuvem (Artifact Signing) para emitir certificados temporários que permitiam a malware e ransomware passar como software legítimo para Windows e outras defesas.
Que um ator criminoso tenha conseguido gerar mais de mil certificados e montar centenas de inquilinos e subscrições no Azure explore uma falha de modelo mais do que uma falha técnica isolada: os atacantes combinam roubo de identidade, infraestrutura na nuvem e mercados clandestinos para converter a reputação de um fornecedor em uma arma. A Microsoft tomou medidas técnicas e legais — incluindo a revogação maciça de certificados e a apreensão do domínio signspace[.]cloud—, e apresentou uma demanda para sustentar essa ação nos tribunais ( texto do caso).
Do ponto de vista operacional, a tática de usar certificados de curta duração (72 horas) É inteligente para os atacantes porque reduz a janela em que os mecanismos tradicionais de reputação e análise podem anotar e bloquear binários maliciosos. Ao mesmo tempo, assinar instaladores com nomes e editores que imitam aplicações legítimas (Teams, AnyDesk, PuTTY, Webex) facilita a suplantação e a entrega de loaders que acabam se desenvolvendo ransomware como Rhysida ou famílias de stealers.
Isso levanta uma questão essencial sobre os serviços de assinatura na nuvem: como equilibrar a agilidade para desenvolvedores com controles de identidade e detecção que impeçam o abuso? Microsoft documenta parte de sua pesquisa em seu blog de segurança, onde explica o caso e as ações tomadas ( análise da Microsoft). Mas a solução não pode recair apenas no fornecedor: organizações, fabricantes de software, e operadores de infraestrutura devem ajustar seus controles.
Para equipes de segurança e administradores, a primeira recomendação prática é assumir que a assinatura digital não é por si só uma garantia absoluta. Audite ativamente as aplicações assinadas que são executadas em seu ambiente, contraste a telemetria de assinaturas com fontes de reputação e marque qualquer binário assinado com certificados efêmeros ou emitidos por novas contas ou com indícios de identidade roubada. Refuerce políticas de integridade de código e de execução (por exemplo, Windows Defender Application Control ou soluções EDR/NGAV com controle de execução por assinatura) e configure alertas específicos para executáveis assinados por emitentes invulgares.
Os responsáveis por fornecedores de software e serviços assinados devem rever e endurecer os seus processos KYC (know your customer) e verificação de identidade, introduzir detecção de padrões abusivos (por exemplo, emissão maciça de contas novas, utilização de proxies ou VMs de terceiros) e aplicar limites e controles adicionais quando forem detectados pedidos de certificados de curta vida para binários de alto risco. O sector também precisa de melhores canais de intercâmbio de sinais de fraude para acelerar bloqueios e revogações coordenadas.
Para usuários e administradores de sistemas, convém reforçar práticas básicas: baixar software apenas a partir de fontes oficiais, verificar o emitente e os detalhes da assinatura quando são instalados executáveis, e desconfiar de instaladores que chegam por correio ou mensagens não solicitados. Em ambientes corporativos, implemente segmentação de rede, cópias de segurança verificadas e procedimentos de resposta a incidentes que considerem a possibilidade de binários assinados fraudulentamente.
Finalmente, há uma dimensão regulamentar e de design que merece atenção: serviços que facilitam a confiança pública deveriam incorporar mecanismos anti-abuso nativos, como reputação do requerente, vetos automáticos por sinais de fraude e requisitos reforçados para certificados de alta confiança ou de vida curta. A experiência com a Fox Tempest demonstra que os ganhos são elevados e que os criminosos investem em profissionalizar operações que oferecem "firma como serviço" em mercados clandestinos.
Esta crise é uma chamada à ação coletiva: fornecedores como a Microsoft podem e devem melhorar controles e transparência, mas as organizações devem adaptar processos e ferramentas para não depender exclusivamente do indicador "firmado por X". Para mais contexto sobre o serviço na nuvem envolvido e suas características, consulte a página oficial do Artifact/Trusted Signing do Azure ( Azure Artifact Signing) e reveja os detalhes do caso e as evidências apresentadas pela Microsoft na documentação legal ( documentos do processo).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...