Quando clicamos em instalar um software corporativo, confiamos em uma cadeia invisível de validações que vai desde a origem do arquivo até a assinatura digital no executável. Essa confiança foi quebrada em outubro de 2025, quando a Microsoft revogou mais de 200 certificados de assinatura digital utilizados em uma campanha de malware que distribuía falsos instaladores do Teams. A operação expôs como adversários conseguem vestir terno e gravata: exploram a confiança em certificados legítimos, passam pelo crivo de soluções de segurança e entregam ransomware.
O episódio não é um caso isolado, na verdade, é um alerta sobre a fragilidade da cadeia de confiança e sobre a necessidade de controlar melhor os segredos e chaves no seu pipeline de software. À medida que os ataques evoluem, a confiança em assinaturas digitais sem validações adicionais se torna um ponto fraco.
E neste artigo vamos entender como o sequestro de certificados digitais compromete a cadeia de confiança, porque isso importa para sua empresa e que práticas podem blindar seus processos. Acompanhe até o final para ver como a Asper pode ajudar a monitorar, detectar e responder a ataques que exploram assinaturas legítimas.
Ouça
O que aconteceu? A campanha do Vanilla Tempest
Em meados de outubro de 2025, o grupo Vanilla Tempest (também conhecido como Vice Society) explorou uma campanha de malvertising para distribuir instaladores falsos do Microsoft Teams. De acordo com o portal TecMundo, a Microsoft confirmou ter revogado mais de 200 certificados digitais usados para autenticar uma versão falsa do Teams.
O Vanilla Tempest, grupo responsável pelos ataques, utilizou domínios que imitavam o Teams, para distribuir arquivos MSTeamsSetup.exe falsos que infectam as vítimas com o backdoor Oyster (também conhecido como Broomstick e CleanUpLoader).
Falso site de download do Microsoft
A medida interrompeu a campanha do grupo, que utilizava esses certificados para assinar arquivos MSTeamsSetup.exe hospedados em domínios falsos, como teams-download[.]buzz e teams-install[.]run.
As vítimas eram direcionadas a esses sites por meio de técnicas de SEO poisoning, manipulação de resultados em mecanismos de busca que dão destaque a páginas fraudulentas.
Segundo a investigação, ao executar o instalador falso o usuário iniciava a instalação de um loader que implantava o backdoor Oyster com a assinatura fraudulenta. Esse backdoor, distribuído desde junho de 2025, abria caminho para a instalação do ransomware Rhysida.
Ransomware Rhysida visam alvos de oportunidade nos setores de educação, saúde, manufatura, TI e governo. Evidências indicam semelhanças entre as atividades da Vice Society e os atores associados ao ransomware Rhysida. Relatos também confirmam casos de operação da Rhysida como um serviço (RaaS), onde ferramentas e infraestrutura são alugadas, com os resgates divididos entre o grupo e afiliados.
Os atores da Rhysida foram detectados utilizando serviços remotos externos, como VPNs, para entrar e persistir em redes corporativas. Eles frequentemente autenticam-se em pontos de acesso VPN internos com credenciais comprometidas, aproveitando organizações sem MFA habilitado por padrão.
Além disso, exploram a vulnerabilidade Zerologon (CVE-2020-1472) da Microsoft para elevação de privilégios e realizam tentativas bem-sucedidas de phishing. A Microsoft lançou um patch para CVE-2020-1472.
Relatórios da BleepingComputer corroboram que a revogação de mais de 200 certificados pela Microsoft interrompeu uma onda de ataques de ransomware Rhysida.
O portal reforça que os domínios falsos imitavam o portal de download oficial do Teams e exibiam um botão de “download” que baixava um arquivo com o mesmo nome do instalador legítimo; ao ser executado, o loader implantava o backdoor e permitia a execução de comandos remotos, exfiltração de arquivos e instalação de cargas adicionais.
Essa campanha foi possível porque os operadores conseguiram adquirir ou sequestrar certificados de assinatura digital válidos. Outros grandes portais de cibersegurança que a Microsoft identificou que mais de 200 certificados foram utilizados para assinar binários maliciosos, que passavam por instaladores falsos do Teams.
Esses certificados, emitidos por provedores legítimos de assinatura de código, foram usados para assinar não apenas o instalador falso, mas também ferramentas pós‑compromisso. A mesma reportagem explica que os arquivos maliciosos estavam hospedados em domínios como teams-download[.]buzz, teams-install[.]run e teams-download[.]top, e que os utilizadores eram direcionados por meio de SEO poisoning.
Em outras palavras: ao buscar “Teams download” em um mecanismo de busca, a vítima era atraída para um site que parecia oficial e oferecia um instalador com assinatura válida.
Como a cadeia de confiança foi sequestrada?
O modelo tradicional de cadeia de confiança se baseia em alguns pilares:
- (1) o executável é assinado com um certificado que comprova sua procedência
- (2) o sistema operacional valida essa assinatura
- (3) ferramentas de segurança consideram que softwares assinados são, a princípio, confiáveis.
Esse modelo funciona bem quando a assinatura pertence ao desenvolvedor legítimo e a cadeia de certificados não foi comprometida.
No episódio de outubro, porém, os operadores do Vanilla Tempest subverteram esse processo, eles obtiveram certificados válidos, alguns emitidos por serviços de code signing comerciais, e os utilizaram para assinar malwares. Como a assinatura era válida, muitos controles de segurança reduziram o nível de triagem, permitindo a execução do instalador.
Segundo a análises, os operadores utilizaram serviços de assinatura de código e certificados emitidos por diferentes autoridades para assinar os instaladores falsos e ferramentas pós‑compromisso. Essa pulverização de certificados explica o grande número de revogações: mais de 200 chaves tiveram de ser invalidadas para neutralizar a ameaça.
Além disso, a campanha combinou a distribuição do backdoor Oyster com malvertising: anúncios comprados em mecanismos de busca direcionavam usuários para domínios falsos. Essa combinação permitiu contornar políticas de segurança que bloqueiam downloads desconhecidos, pois os arquivos estavam assinados e hospedados em páginas aparentemente legítimas.
O uso de certificados legítimos por criminosos não é novo, mas o volume e a coordenação desta campanha são um sinal de alerta. Ransomware‑as‑a‑Service e grupos de initial access brokers vêm investindo em técnicas que aumentam a eficácia de engenharia social e reduzem a detecção.
Quando a assinatura digital ( o selo de “legitimidade”) é sequestrada, o atacante veste terno e gravata: parece confiável e passa pelo crivo das defesas tradicionais.
Por que isso importa para a sua empresa?
1. Dependência excessiva da assinatura digital
Muitas empresas confiam no code signing como principal indicador de integridade. Sistemas de controle de aplicações, soluções de proteção de endpoint e até processos manuais de aprovação se baseiam no simples fato de que um executável foi assinado para considerá‑lo seguro.
A campanha do Vanilla Tempest mostrou que essa confiança pode ser quebrada: um executável com assinatura válida ainda pode instalar um loader malicioso e abrir caminho para backdoors e ransomware. Portanto, confiar apenas na assinatura digital é insuficiente.
Os times de segurança devem validar a proveniência do arquivo, por exemplo, verificando se o download veio do site oficial, e analisar o comportamento do binário após a execução.
2. Supply chain e chaves de assinatura
As empresas que desenvolvem software interno ou distribuem pacotes para clientes também precisam proteger suas chaves de assinatura e segredos de build. Caso um atacante obtenha acesso a esses artefatos, poderá assinar malwares em nome da organização, replicando o que ocorreu com os instaladores falsos do Teams.
Além disso, muitos pipelines automatizados utilizam tokens de serviços de nuvem ou CI/CD que, se expostos, permitem a publicação de builds maliciosos. Proteger esses segredos com cofres dedicados e implementar rotação frequente de chaves é essencial para evitar o sequestro da cadeia de confiança.
3. Efeito cascata nas defesas
Os arquivos MSTeamsSetup.exe maliciosos passavam por filtros porque tinham o mesmo nome, o mesmo tamanho e a mesma assinatura de um instalador legítimo. Ao instalá‑los, o loader implantava o backdoor Oyster e, em seguida, o ransomware Rhysida.
Esse efeito cascata significa que, uma vez que o instalador inicial passa pela defesa, todo o restante da cadeia é comprometido. Além de exfiltrar dados e executar comandos remotos, os operadores têm acesso à rede interna para escalar privilégios e criptografar dados.
Uma defesa robusta precisa, portanto, detectar comportamentos suspeitos logo após a execução de um binário, mesmo que ele esteja assinado.
4. Malvertising e engenharia social avançada
A campanha utilizou anúncios em mecanismos de busca e otimização maliciosa para induzir usuários a clicar em resultados fraudulentos. Isso demonstra como técnicas de engenharia social evoluíram para além do e‑mail: agora, basta pesquisar por um software popular para cair em uma página clonada.
Em ambientes corporativos, onde colaboradores baixam ferramentas de videoconferência, RDP ou transferência de arquivos, a superfície de ataque é ampla. Políticas de navegação, educação continuada e uso de catálogos de aplicativos aprovados são contramedidas necessárias.
Boas práticas para proteger a cadeia de confiança
À luz desse incidente, listamos orientações práticas para fortalecer a segurança do seu pipeline e proteger os endpoints corporativos:
Valide a origem de cada download: Oriente usuários a baixar software somente de portais oficiais ou repositórios internos. Mesmo que a assinatura digital esteja presente, verifique se o endereço (URL) pertence ao fabricante. No caso do ataque, as vítimas foram direcionadas para domínios semelhantes ao site legítimo, como teams-download[.]buzz.
Implemente verificação comportamental e revogação dinâmica: Soluções de proteção de endpoint e EDR devem complementar a validação da assinatura com análise de comportamento em tempo real. No Cyber Fusion Center (CFC) da Asper, por exemplo, regras específicas classificam executáveis assinados, porém suspeitos, e ativam rotinas de investigação automatizada. Essa abordagem identifica loaders, backdoors e anomalias de rede logo após a execução e permite a revogação dinâmica de confiança.
Proteja suas chaves de assinatura e segredos de build: Utilize cofres de gerenciamento de chaves (como CyberArk e soluções de cofre de segredos) para armazenar certificados de assinatura de código e tokens de CI/CD. Esses cofres oferecem rotação automatizada, granularidade de permissões e registro de auditoria. Garantir que apenas pipelines autorizados possam acessar as chaves reduz a chance de sequestro interno. Além disso, configure alertas para uso irregular de certificados, se uma chave de assinatura começar a assinar muitos binários diferentes, isso pode ser indício de comprometimento.
Integre seu MDM/EMM com políticas de instalação: Dispositivos corporativos gerenciados devem instalar softwares apenas a partir de catálogos aprovados. O gerenciamento de dispositivos móveis (MDM) permite bloquear instaladores que não estejam na lista branca e exigir verificação adicional para arquivos assinados, mas baixados fora do repositório. Também é possível configurar políticas de restrição de execução baseadas em hash, evitando que versões adulteradas sejam executadas.
Monitore reputação e inteligência de ameaças: Adote serviços de inteligência de ameaças que acompanhem mudanças de reputação de certificados, domínios e hashes. A revogação de mais de 200 certificados demonstra como a reputação pode mudar rapidamente: um certificado válido hoje pode ser comprometido amanhã. Integrar feeds de IOC (indicadores de compromisso) no SOC permite que controles de rede bloqueiem downloads e conexões maliciosas com base em domínios ou certificados revogados.
Reputação e correlacionamento de artefatos de Cyber Threat Intelligence (CTI), incluindo certificados TLS, domínios, subdomínios, assinaturas digitais, hashes (MD5/SHA1/SHA256) e elementos de infraestructura (IPs, ASNs, servidores C2).
Integre esses indicadores ao pipeline de segurança para ingestão automática pelo SOC/EDR, garantindo atualização em tempo real do conjunto de IOCs e viabilizando o bloqueio automático de artefatos maliciosos, conexões de comando e controle e ativos comprometidos em toda a borda de rede e endpoints.
Como a Asper ajuda a fortalecer sua cadeia de confiança
Na Asper Cibersegurança, lidamos diariamente com ataques que exploram brechas na cadeia de confiança. Nosso Cyber Fusion Center (CFC) combina monitoramento 24×7 com deteção comportamental e resposta automatizada.
As equipes de threat intelligence alimentam o CFC com indicadores de compromisso de campanhas recentes e mantêm regras específicas para binários assinados, identificando comportamentos divergentes.
Em casos como a campanha do Vanilla Tempest, a correlação entre domínios maliciosos, certificados revogados e execução de loaders é feita de forma automática, isolando máquinas e revogando acessos antes que o ransomware se espalhe.
Além do CFC, implementamos soluções de gestão de identidades e acessos que protegem chaves de assinatura e tokens de build. O cofre de credenciais permite a rotação de chaves de forma segura e documenta cada uso para auditoria.
Também ajudamos clientes a configurar pipelines de desenvolvimento seguros (DevSecOps), integrando análise estática e validação de assinaturas nos processos de CI/CD.
Por fim, a integração com plataformas de MDM possibilita impor políticas de instalação de softwares apenas a partir de catálogos aprovados, reduzindo a superfície de ataque causada por downloads aleatórios.
Conectando os pontos: além da assinatura há contexto
Um certificado digital é apenas uma parte da história. O caso dos 200 certificados revogados ilustra que confiança não deve ser automática: ela deve ser conquistada e mantida.
O selo de assinatura verifica a origem do binário, mas não atesta que o conteúdo é benigno. É necessário combinar assinatura, proveniência, comportamento e reputação em uma abordagem de zero trust aplicada também ao código.
O episódio é um lembrete de que adversários investem em táticas sofisticadas para enganar usuários e bypassar controles. O uso de anúncios em mecanismos de busca e domínios aparentemente legítimos mostra que a engenharia social evoluiu para novos canais.
Ao mesmo tempo, a fragmentação e o reaproveitamento de chaves de assinatura evidenciam fragilidades de governança de chaves nas empresas. Sem políticas de rotação, monitoramento e revogação, uma chave vazada pode assinar malwares por meses.
Para quem desenvolve software ou gerencia pipelines de build, fica a lição de que proteger segredos e monitorar builds é tão importante quanto proteger as máquinas dos usuários finais.
Uma cadeia de confiança só é tão forte quanto seu elo mais fraco. Assim como certificados assinados por provedores legítimos foram abusados, tokens de build e APIs internas também podem ser explorados se não forem guardados de forma adequada.
O grande alerta para os próximos meses
A revogação de 200 certificados de assinatura digital em outubro de 2025 revelou a fragilidade de um modelo de confiança baseado apenas em assinaturas.
O grupo Vanilla Tempest aproveitou a confiança do usuário e dos sistemas em arquivos assinados para distribuir backdoors e ransomware, demonstrando que a cadeia de confiança pode ser sequestrada.
Para enfrentar essa realidade, as organizações precisam ir além do selo digital: é necessário validar a procedência, monitorar comportamento, proteger chaves e tokens de build e adotar políticas de zero trust.
O CFC da Asper e nossas soluções de gestão de credenciais, análise comportamental e integração com MDM ajudam empresas a antecipar, detectar e responder a esse tipo de ameaça.Em um ambiente em que a sofisticação dos adversários cresce a cada dia, a vigilância em tempo real e a proteção da cadeia de confiança são indispensáveis para preservar a continuidade dos negócios.
