Ugašen servis za digitalno potpisivanje malvera koji je zloupotrebljavao Microsoftovu platformu
Vesti, 21.05.2026, 14:30 PM
Microsoft je saopštio da je ugasio malware-signing-as-a-service (MSaaS) operaciju koja je zloupotrebljavala kompanijin Artifact Signing servis za generisanje lažnih digitalnih sertifikata korišćenih za potpisivanje malvera.
Prema izveštaju Microsoft Threat Intelligence tima, operacija pod nazivom Fox Tempest koristila je Microsoftovu cloud platformu za kreiranje kratkotrajnih sertifikata i potpisivanje malvera kako bi izgledao kao legitimna aplikacija pred korisnicima i bezbednosnim sistemima.
Microsoftov Azure Artifact Signing servis, ranije poznat kao Trusted Signing, predstavljen je 2024. godine kao cloud rešenje koje programerima omogućava digitalno potpisivanje aplikacija Microsoft sertifikatima.
Istraživači navode da je Fox Tempest kreirao više od 1.000 sertifikata i stotine Azure naloga i pretplata za potrebe operacije.
Microsoft je istovremeno objavio i da je pokrenuo pravni postupak pred federalnim sudom u Njujorku protiv operacije i povezanih aktera.
Kompanija je zaplenila domen signspace[.]cloud, koji je koristio servis, isključila stotine virtuelnih mašina povezanih sa infrastrukturom i blokirala pristup platformi. Sajt sada preusmerava posetioce na sajt kojim upravlja Microsoft, na kome stoji obaveštenje da je kompanija zaplenila domen.
Microsoft navodi da su sertifikati korišćeni u kampanjama koje su uključivale malvere Oyster, Lumma Stealer i Vidar, kao i ransomware operacije Rhysida, Akira, INC, Qilin i BlackByte. Microsoft kaže da su akteri pretnji, uključujući Vanilla Tempest (članovi INC Ransomware-a), Storm-0501, Storm-2561 i Storm-0249, koristili u svojim napadima malvere potpisane na ovaj način.
Prema navodima kompanije, kriminalci su preko platforme otpremali maliciozne fajlove koji su zatim digitalno potpisivani kompromitovanim ili lažnim sertifikatima.
Potpisani malveri korišćeni su za imitiranje legitimnih aplikacija kao što su Microsoft Teams, AnyDesk, PuTTY i Webex.
Microsoft navodi jedan od primera kada je lažni Microsoft Teams instaler isporučivao malver Oyster, nakon čega je na kompromitovane sisteme instaliran Rhysida ransomware. Pošto je malver bio potpisan sertifikatom iz Microsoftovog Artifact Signing sistema, Windows ga je u početku tretirao kao legitimni softver umesto kao potencijalnu pretnju.
Istraživači veruju da su operateri koristili ukradene identitete iz Sjedinjenih Država i Kanade kako bi prošli proces verifikacije identiteta i dobili pristup servisima za potpisivanje.
Napadači su pritom koristili kratkotrajne sertifikate validne svega 72 sata kako bi smanjili šansu za detekciju i opoziv sertifikata.
Microsoft navodi da je Fox Tempest početkom 2026. godine dodatno unapredio operaciju nudeći korisnicima unapred konfigurisane virtuelne mašine preko Cloudzy infrastrukture, gde su kriminalci mogli direktno da otpremaju malver i dobijaju digitalno potpisane verzije fajlova.
Platforma je navodno promovisana preko Telegram kanala „EV Certs for Sale by SamCodeSign“, a pristup servisu prodavan je za 5.000 do 9.000 dolara u bitkoinima.
Microsoft procenjuje da je operacija generisala milionsku zaradu i da iza nje stoji dobro organizovana kriminalna grupa sa razvijenom infrastrukturom i podrškom za korisnike.
Izdvojeno
Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta
Microsoft je upozorio korisnike da u narednom periodu mogu očekivati veći broj bezbednosnih ažuriranja za Windows, jer kompanija sve intenzivnije k... Dalje
Metin novi alat omogućava drugima da koriste vaše javne Instagram fotografije za generisanje AI sadržaja
Meta je predstavila novi model veštačke inteligencije za generisanje slika pod nazivom Muse Image, koji može da koristi javne objave i Reels sadrž... Dalje
Nova pravila za Chrome ekstenzije: manje prikupljanja podataka, više transparentnosti
Google je najavio značajne izmene pravila za Chrome ekstenzije koje će od programera zahtevati znatno veću transparentnost u vezi sa prikupljanjem ... Dalje
AI agent prvi put bez ljudske intervencije izvršio kompletan ransomware napad
Za ransomware napade ljudi više nisu potrebni: po prvi put, agent veštačke inteligencije je samostalno izvršio ransomware napad, iskorišćavajuc... Dalje
Zašto stručnjaci upozoravaju roditelje da razmisle pre objavljivanja fotografija dece na internetu
Sve više stručnjaka upozorava roditelje da dobro razmisle pre nego što objave fotografije ili video snimke svoje dece na internetu, jer razvoj veš... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





