Microsoft ha comunicado en su sitio oficial que ha desmantelado un servicio de ciberdelincuencia que abusaba de una plataforma para firmar malware. Específicamente, esta operación se aprovechaba de Artifact Signing, un servicio de la compañía que facilita la creación de certificados de firma de código falsificados, utilizados por grupos de ransomware y otros delincuentes informáticos.
El equipo de Microsoft Threat Intelligence ha señalado que el grupo detrás de esto es conocido como Fox Tempest. Este grupo ha estado utilizando la plataforma Microsoft Artifact Signing para crear certificados de corta duración que permiten firmar malware. Esto genera confianza en los usuarios, quienes creen que dicho software es legítimo y seguro, cuando en realidad es una trampa.
Abuso del servicio de firmas de Microsoft
Es relevante mencionar que Azure Artifact Signing es un servicio en la nube que Microsoft lanzó en 2024, diseñado para que los desarrolladores obtengan fácilmente la firma de sus programas por parte de la empresa. Esto garantiza que el software es auténtico, no ha sido alterado y proviene de una fuente confiable.
El inconveniente es que Fox Tempest ha estado utilizando identidades robadas y cuentas falsas. Esto les permitió acceder al sistema y firmar malware real con certificados válidos. Como resultado, tanto Windows como otros sistemas confiarán en ese software malicioso, sin mostrar advertencias y sin que los antivirus lo detecten como una amenaza.
Es como si ese software malicioso tuviera una etiqueta que indicara que es legítimo, seguro y confiable. Sin embargo, la realidad es que se trata de malware disfrazado de software legítimo, y eso es lo que han explotado en Fox Tempest.
Es importante mencionar que los atacantes han estado utilizando certificados de solo 72 horas. Esto reduce considerablemente el tiempo de detección, minimiza la posibilidad de ser revocados y mantiene las campañas activas por menos tiempo. Según Microsoft, han logrado suplantar herramientas como Microsoft Teams, AnyDesk o PuTTY.
Intervención exitosa
Microsoft, junto con otros socios de la industria, ha conseguido interrumpir la oferta de este servicio malicioso al atacar la infraestructura y el modelo de acceso que facilitaba su uso delictivo a gran escala.
Entre otras acciones, han incautado el dominio signspace[.]cloud, utilizado por el servicio, y desconectaron cientos de máquinas virtuales vinculadas a la operación. Este sitio ahora redirige a una notificación de Microsoft que detalla todo esto.
Además, esta operación ha estado relacionada con diversas campañas de malware y ransomware conocidas, como Oyster, Lumma Stealer o Vidar, entre otras.
Esto nos alerta sobre el riesgo en Internet, a pesar de la existencia de sistemas de confianza digital. Los atacantes mejoran sus técnicas y están aprendiendo a manipular esos sistemas para hacer que el malware parezca software legítimo y así lograr sus objetivos.
Preguntas frecuentes
¿Qué es Microsoft Artifact Signing?
Es un servicio en la nube que Microsoft lanzó en 2024 para que los desarrolladores obtengan fácilmente una firma digital de la empresa. Esto asegura que el software es auténtico, no ha sido alterado y proviene de una fuente confiable, facilitando así la confianza en aplicaciones legítimas.
¿Cómo firmaron los atacantes malware con certificados válidos?
Fox Tempest utilizó identidades robadas y cuentas falsas para acceder al sistema de Artifact Signing. Una vez dentro, generaban certificados de corta duración (72 horas) para firmar software malicioso, haciéndolo pasar por herramientas legítimas como Microsoft Teams o AnyDesk.
¿Por qué es riesgoso que el malware tenga una firma de código legítima?
Porque los sistemas operativos y los antivirus confían automáticamente en las aplicaciones firmadas por entidades de confianza como Microsoft. Al estar firmado, el malware no muestra advertencias de seguridad al ejecutarse, evadiendo así las medidas de protección habituales y permitiendo que infecte el sistema sin ser detectado.
