Takedown Microsoft Fox Tempest: smantellato il servizio

Il takedown Microsoft Fox Tempest ha smantellato un servizio cybercriminale che sfruttava l’infrastruttura cloud dell’azienda per far apparire legittimo malware destinato anche a campagne ransomware. Il caso tocca un punto delicatissimo della sicurezza informatica: l’abuso dei certificati di firma del codice, cioè uno dei meccanismi che dovrebbero garantire fiducia nel software.

Microsoft non si è limitata a bloccare il gruppo. Ha anche avviato un’azione legale contro i responsabili dell’operazione e ha puntato direttamente all’infrastruttura usata per offrire il servizio ad altri attaccanti. In questo modo, il takedown Microsoft Fox Tempest colpisce non solo il malware finale, ma anche la “fabbrica” che rendeva più semplice distribuirlo.

Secondo i dettagli diffusi, Fox Tempest avrebbe trasformato Azure Artifact Signing in uno strumento per emettere certificati fraudolenti, poi usati per distribuire malware sotto le sembianze di applicazioni note come Teams, AnyDesk e Webex. Gli aggressori non si sono limitati a diffondere codice malevolo: hanno cercato di farlo passare per software affidabile agli occhi dei sistemi di difesa.

Summary

Microsoft blocca Fox Tempest e colpisce l’infrastruttura del servizioCome funzionava l’abuso di Azure Artifact SigningIl malware nascosto dentro false app legittimeLe campagne collegate e l’impatto sul settore