Les cybercriminels ont payé entre 5 000 et 9 000 dollars pour rendre leurs logiciels malveillants plus difficiles à détecter sur Windows, soulignant ainsi leur efficacité et un changement dans le fonctionnement du marché de la cybercriminalité.
Microsoft a perturbé l’infrastructure qui alimente le plus grand service de signature de code de malware utilisé pour aider les groupes de ransomwares et autres cybercriminels à rendre les programmes malveillants plus difficiles à détecter sous Windows. Les acteurs malveillants à l’origine du service ont utilisé des identités volées et usurpé l’identité d’organisations légitimes pour obtenir plus de 1 000 certificats de signature de code.
Microsoft a saisi le site Internet du groupe, signspace(.)clouda révoqué les certificats abusés, obtenus via son service Artifact Signing, et a mis hors ligne des centaines de machines virtuelles configurées par les attaquants sur Azure. Les cybercriminels ont payé entre 5 000 et 9 000 dollars pour utiliser le logiciel de signature de logiciels malveillants en tant que service (MSaaS), soulignant ainsi son efficacité.
Les chercheurs de Microsoft ont établi des liens clairs entre le groupe qui dirige cette opération, qu’il appelle Fox Tempest, et les affiliés du ransomware qui ont travaillé avec des gangs tels que INC, Qilin, Akira et Rhysida.
Un groupe de ransomwares identifié sous le nom de Vanilla Tempest a utilisé le service de signature de code pour créer des installateurs malveillants pour des logiciels d’entreprise courants, tels que AnyDesk, Microsoft Teams, Putty et Webex. Ces faux installateurs mais signés numériquement ont été distribués via un empoisonnement SEO et une publicité malveillante et ont été utilisés pour déployer une variété de portes dérobées, de voleurs d’informations et de programmes de ransomware.
« Cette affaire montre à quel point la cybercriminalité évolue », a déclaré Steven Masada, avocat général adjoint de la Digital Crimes Unit de Microsoft, dans un article de blog. « Ce qui nécessitait autrefois qu’un seul groupe mène une attaque du début à la fin est désormais divisé en un écosystème modulaire dans lequel les services sont achetés et vendus et fonctionnent de manière interchangeable les uns avec les autres. Certains services sont peu coûteux et largement utilisés. D’autres, comme Fox Tempest, sont hautement spécialisés et coûteux car ils suppriment les frictions ou contournent les obstacles qui font échouer les attaques, les rendant à la fois plus fiables et plus difficiles à détecter. «
Signature de code à grande échelle
L’intérêt de la signature numérique des fichiers exécutables réside dans le fait que Microsoft Defender SmartScreen affichera des avertissements plus faibles pour les fichiers téléchargés, voire aucun avertissement si le fichier a acquis une réputation propre au fil du temps. Pour les attaques qui reposent sur l’exécution par les utilisateurs d’installateurs malveillants se faisant passer pour des applications populaires, l’absence d’avertissements effrayants constitue un gros avantage.
Pour qu’une signature numérique soit valide, elle doit être créée par un certificat de signature de code émis par l’une des autorités de certification de confiance dans le Windows Trust Store. Microsoft propose un tel service sous Azure appelé Artifact Signing grâce auquel les développeurs peuvent obtenir des certificats de courte durée pour leurs applications, mais ce processus nécessite une vérification d’identité.
Fox Tempest a probablement utilisé des identités volées pour passer le processus de vérification et a créé des centaines de comptes et de locataires Azure à utiliser dans le cadre de ses opérations. Le groupe a ensuite construit son service en plus de ces abonnements et a fourni des services de signature de code à l’écosystème de la cybercriminalité depuis au moins mai 2025.
Plus récemment, le groupe a commencé à fournir des machines virtuelles préconfigurées hébergées sur un fournisseur VPS qui permettaient aux acteurs malveillants de télécharger directement des fichiers malveillants et de recevoir des binaires signés en retour.
« Des certificats de signature de code illicites sont vendus et trafiqués depuis plus d’une décennie », a déclaré Massada. « Cela inclut son utilisation par des acteurs étatiques pour cibler des organisations d’infrastructures critiques en Europe. Ce qui a changé, c’est la façon dont cette activité est commercialisée, conditionnée et vendue en tant que service, ainsi que l’échelle à laquelle elle est désormais utilisée dans les campagnes de ransomware. Au lieu d’acheter les certificats un par un, les criminels téléchargent leur malware sur un service qui le signe pour eux. «
