A Microsoft relatou uma grande campanha de phishing que atingiu mais de 35.000 usuários em 13.000 empresas entre abril 14 e 16 de abril de 2026. A campanha afetou usuários em 26 países, com 92% dos e-mails de phishing direcionados a organizações nos Estados Unidos.
Os setores mais impactados incluíram cuidados de saúde e ciências da vida (19%), serviços financeiros (18%), serviços profissionais (11%) e tecnologia e software (11%). A Microsoft descreveu as táticas usadas nesta campanha, observando que os agentes de ameaças empregaram modelos HTML sofisticados de estilo empresarial, projetados para parecerem legítimos.
Nos e-mails de phishing, os invasores personificaram identidades como “COC regulatório interno”, “Comunicações da força de trabalho” e “Relatório de conduta da equipe”. Esses e-mails tinham como tema “registros de casos internos” e incluíam avisos sobre não conformidade, o que criou um senso de urgência para os destinatários agirem.
Cada e-mail trazia um aviso indicando que foi emitido por meio de canal interno autorizado, informando que os links e anexos foram revisados para acesso seguro. Isso ajudou a reforçar a credibilidade dos e-mails.
Os esforços de phishing contornaram com sucesso as proteções tradicionais de e-mail, incluindo SPF, DKIM e DMARC, à medida que os invasores enviavam e-mails usando serviços legítimos. Anexos PDF maliciosos foram incluídos, redirecionando as vítimas para páginas de destino de phishing.
As vítimas que abriram os PDFs foram canalizadas através de vários CAPTCHAs, com o objetivo de criar uma falsa sensação de legitimidade e filtrar qualquer verificação automatizada. O objetivo final era coletar credenciais e tokens da Microsoft em tempo real, permitindo que os invasores contornassem a autenticação multifator (MFA).
