Microsoft desarticula serviço de assinatura de código de malware usado por gangues de ransomware

A Microsoft desmantelou a operação de "malware-signing-as-a-service" (MSaaS) da Fox Tempest ao apreender o domínio signspace[.]cloud, revogar mais de 1.000 certificados de assinatura de código obtidos via identidades roubadas e assinaturas Azure Artifact Signing abusadas, e derrubar centenas de VMs controladas por atacantes. Cibercriminosos pagavam entre US$ 5.000 e US$ 9.000 por deploy para burlar alertas do SmartScreen e evadir detecção. A Vanilla Tempest e afiliados de grupos como INC, Qilin, Akira e Rhysida usaram instaladores falsos assinados (AnyDesk, Teams, PuTTY e Webex) distribuídos por SEO poisoning e malvertising para implantar backdoors, infostealers e ransomware. Essa mudança reflete a modularização do cibercrime, onde serviços especializados de alta complexidade como a assinatura de código são agora comoditizados e vendidos de forma intercambiável, substituindo cadeias de ataque monolíticas e permitindo a rápida escalabilidade em campanhas de ransomware desde pelo menos maio de 2025.