Alerta por malware que se oculta tras firmas digitales legítimas
Publicado el
Explotación de Microsoft Artifact Signing
Recientemente, Microsoft ha informado sobre la desarticulación de un servicio de ciberdelincuencia que utilizaba su plataforma de firmware para firmar malware. Este ataque fue llevado a cabo por el grupo cibercriminal Fox Tempest, que se valió de Microsoft Artifact Signing para generar certificados fraudulentos que permiten hacer que el malware parezca software legítimo.
Microsoft Artifact Signing, lanzado en 2024, es un servicio en la nube diseñado para que los desarrolladores puedan obtener la firma de sus programas, garantizando que son auténticos y no han sido modificados. Sin embargo, Fox Tempest ha logrado acceder a este sistema utilizando identidades robadas y cuentas fraudulentas, permitiéndoles firmar malware real con certificados válidos. Como resultado, tanto Windows como otros sistemas operativos confían en este software malicioso, evitando las advertencias de seguridad habituales y permitiendo que el malware infecte los dispositivos sin ser detectado.
Técnicas y riesgos involucrados
Los atacantes han estado generando certificados de corta duración, limitados a 72 horas. Esta estrategia les permite minimizar el riesgo de detección y mantener activas sus campañas por un tiempo más corto. Entre las herramientas que han logrado suplantar se encuentran Microsoft Teams, AnyDesk y PuTTY, lo que demuestra la peligrosidad de esta técnica.
Desde Microsoft, junto a aliados de la industria, se ha trabajado para interrumpir esta operación, atacando la infraestructura que facilitaba el acceso a la plataforma de firma. Como parte de esta acción, se ha incautado el dominio signspace[.]cloud utilizado por los delincuentes y se han desconectado cientos de máquinas virtuales asociadas a esta actividad delictiva.
Esta operación está vinculada a varias campañas de malware y ransomware, como Oyster, Lumma Stealer y Vidar, lo que pone de manifiesto el constante riesgo al que están expuestos los usuarios en Internet, incluso con sistemas de confianza digital en su lugar.
Conclusión
La capacidad de los atacantes para manipular sistemas de confianza es una advertencia de que la seguridad informática debe ser prioridad. A medida que los métodos de ataque se vuelven más sofisticados, es esencial que tanto usuarios como empresas implementen medidas de protección adecuadas para mitigar el riesgo de infecciones por malware disfrazado de software legítimo. La seguridad digital es un campo en constante evolución donde la vigilancia y la educación son clave para garantizar la integridad de los sistemas.