Microsoft ha anunciado a través de su web oficial que ha desarticulado un servicio de ciberdelincuencia que explotaba una plataforma para firmware malware. Concretamente, esta operación abusaba de Artifact Signing, un servicio de esta empresa que permite generar certificados de firma de código fraudulentos utilizados por grupos de ransomware y otros piratas informáticos.
El equipo de Microsoft Threat Intelligence ha indicado que detrás de esto está el grupo de cibercriminales conocido como Fox Tempest. Ha estado utilizando esta plataforma llamada Microsoft Artifact Signing para crear certificados de corta duración y que permitía firmar malware. Esto permite que los usuarios confíen en ese software, ya que piensan que se trata de algo legítimo y seguro cuando realmente es una estafa.
Explotan el servicio de firmas de Microsoft
Hay que mencionar que Azure Artifact Signing es un servicio en la nube que lanzó Microsoft en 2024 para que los desarrolladores pudieran obtener de forma sencilla la firma de los programas por parte de esta empresa. Esto permite demostrar que el software es auténtico, que no ha sido modificado y que proviene de una fuente confiable.
El problema es que Fox Tempest ha estado usando identidades robadas y cuentas fraudulentas. Esto ha permitido que obtengan acceso al sistema y pudiera firmar malware real con certificados válidos. A partir de ese momento, tanto Windows como otros sistemas van a confiar en ese software malicioso. No mostrará advertencias y los antivirus no lo van a detectar como si fuera una amenaza.
Podemos decir que es como si ese software malicioso tuviera una etiqueta que dijera que es algo legítimo, seguro y que no hay ningún problema en confiar en él. Pero claro, la realidad es que se trata de malware disfrazado de software seguro. Eso es lo que han aprovechado desde Fox Tempest.
Hay que mencionar que los atacantes han estado utilizando certificados de solo 72 horas. Esto reduce mucho el tiempo de detección, minimizan riesgos de ser revocados y mantienen campañas activas durante poco tiempo. Según explican desde Microsoft, han logrado hacerse pasar por herramientas como Microsoft Teams, AnyDesk o PuTTY.
Solucionado
Por parte de Microsoft, junto a otros socios de la industria, han podido interrumpir la oferta de este servicio malicioso al atacar a la infraestructura y al modelo de acceso que permitía su uso delictivo a mayor escala.
