Microsoft ha recentemente revocato oltre 200 certificati digitali falsificati che erano stati utilizzati dal gruppo criminale noto come Vanilla Tempest per firmare in modo fraudolento file malevoli, coinvolti in attacchi ransomware di tipo Rhysida. Questo intervento rappresenta una risposta decisa contro una sofisticata campagna che sfruttava certificati apparentemente legittimi per distribuire malware tramite file di installazione fasulli di Microsoft Teams.
La campagna, scoperta tra la fine di settembre e l’inizio di ottobre 2025, prevedeva l’uso di siti web appositamente creati per imitare le pagine di download ufficiali di Microsoft Teams. Questi domini, come teams-download.buzz o teams-install.run, erano ottimizzati per i motori di ricerca attraverso tecniche di SEO poisoning, inducendo gli utenti a scaricare installer compromessi e contenenti il backdoor Oyster. Questo malware, noto anche come Broomstick o CleanUpLoader, è spesso diffuso tramite installatori trojanizzati di software popolari come Google Chrome e Microsoft Teams, sfruttando la fiducia degli utenti nei risultati dei motori di ricerca Google e Bing.
Il gruppo Vanilla Tempest, già conosciuto come Vice Society e attivo da almeno luglio 2022, è responsabile della diffusione di diverse famiglie ransomware tra cui BlackCat, Quantum Locker, Zeppelin e Rhysida. In questa specifica campagna, Vanilla Tempest ha utilizzato servizi di firma digitale come Trusted Signing, così come fornitori noti come SSL.com, DigiCert e GlobalSign, per firmare sia i file di setup compromessi che altri strumenti usati dopo aver violato i sistemi delle vittime.
La distribuzione del ransomware Rhysida avveniva in più fasi: dapprima il download del falso installer, poi l’installazione del backdoor Oyster che consentiva agli attaccanti di mantenere il controllo remoto sul sistema e, infine, il dispiegamento del ransomware vero e proprio. Microsoft, oltre a revocare i certificati falsificati, ha aggiornato le proprie soluzioni di sicurezza per rilevare e bloccare le firme collegate a questi file malevoli.
Questa vicenda evidenzia ancora una volta come i criminali informatici sfruttino la fiducia degli utenti verso i marchi noti e i risultati dei motori di ricerca, manipolando le tecniche SEO per aumentare la diffusione dei loro attacchi. Si consiglia fortemente di scaricare software esclusivamente da fonti ufficiali e di prestare attenzione a link sospetti, anche quando appaiono tra i primi risultati di ricerca. La costante attenzione alle pratiche di sicurezza informatica e l’aggiornamento degli strumenti di difesa rimangono fondamentali per mitigare i rischi.