Ugašen servis za digitalno potpisivanje malvera koji je zloupotrebljavao Microsoftovu platformu

Vesti, 21.05.2026, 14:30 PM

Microsoft je saopštio da je ugasio malware-signing-as-a-service (MSaaS) operaciju koja je zloupotrebljavala kompanijin Artifact Signing servis za generisanje lažnih digitalnih sertifikata korišćenih za potpisivanje malvera.

Prema izveštaju Microsoft Threat Intelligence tima, operacija pod nazivom Fox Tempest koristila je Microsoftovu cloud platformu za kreiranje kratkotrajnih sertifikata i potpisivanje malvera kako bi izgledao kao legitimna aplikacija pred korisnicima i bezbednosnim sistemima.

Microsoftov Azure Artifact Signing servis, ranije poznat kao Trusted Signing, predstavljen je 2024. godine kao cloud rešenje koje programerima omogućava digitalno potpisivanje aplikacija Microsoft sertifikatima.

Istraživači navode da je Fox Tempest kreirao više od 1.000 sertifikata i stotine Azure naloga i pretplata za potrebe operacije.

Microsoft je istovremeno objavio i da je pokrenuo pravni postupak pred federalnim sudom u Njujorku protiv operacije i povezanih aktera.

Kompanija je zaplenila domen signspace[.]cloud, koji je koristio servis, isključila stotine virtuelnih mašina povezanih sa infrastrukturom i blokirala pristup platformi. Sajt sada preusmerava posetioce na sajt kojim upravlja Microsoft, na kome stoji obaveštenje da je kompanija zaplenila domen.

Microsoft navodi da su sertifikati korišćeni u kampanjama koje su uključivale malvere Oyster, Lumma Stealer i Vidar, kao i ransomware operacije Rhysida, Akira, INC, Qilin i BlackByte. Microsoft kaže da su akteri pretnji, uključujući Vanilla Tempest (članovi INC Ransomware-a), Storm-0501, Storm-2561 i Storm-0249, koristili u svojim napadima malvere potpisane na ovaj način.

Prema navodima kompanije, kriminalci su preko platforme otpremali maliciozne fajlove koji su zatim digitalno potpisivani kompromitovanim ili lažnim sertifikatima.

Potpisani malveri korišćeni su za imitiranje legitimnih aplikacija kao što su Microsoft Teams, AnyDesk, PuTTY i Webex.

Microsoft navodi jedan od primera kada je lažni Microsoft Teams instaler isporučivao malver Oyster, nakon čega je na kompromitovane sisteme instaliran Rhysida ransomware. Pošto je malver bio potpisan sertifikatom iz Microsoftovog Artifact Signing sistema, Windows ga je u početku tretirao kao legitimni softver umesto kao potencijalnu pretnju.

Istraživači veruju da su operateri koristili ukradene identitete iz Sjedinjenih Država i Kanade kako bi prošli proces verifikacije identiteta i dobili pristup servisima za potpisivanje.

Napadači su pritom koristili kratkotrajne sertifikate validne svega 72 sata kako bi smanjili šansu za detekciju i opoziv sertifikata.

Microsoft navodi da je Fox Tempest početkom 2026. godine dodatno unapredio operaciju nudeći korisnicima unapred konfigurisane virtuelne mašine preko Cloudzy infrastrukture, gde su kriminalci mogli direktno da otpremaju malver i dobijaju digitalno potpisane verzije fajlova.

Platforma je navodno promovisana preko Telegram kanala „EV Certs for Sale by SamCodeSign“, a pristup servisu prodavan je za 5.000 do 9.000 dolara u bitkoinima.

Microsoft procenjuje da je operacija generisala milionsku zaradu i da iza nje stoji dobro organizovana kriminalna grupa sa razvijenom infrastrukturom i podrškom za korisnike.