A Microsoft relatou uma campanha de phishing direcionada a mais de 35.000 usuários em 13.000 empresas, principalmente nos Estados Unidos, entre 14 e 16 de abril de 2026. Esta campanha impactou organizações em 26 países, com 92% dos e-mails enviados para entidades sediadas nos EUA.
Os setores da saúde e das ciências da vida foram os mais afetados, representando 19% das vítimas. Outros setores impactados incluíram serviços financeiros com 18%, serviços profissionais com 11% e tecnologia e software, também com 11%.
De acordo com o comunicado da Microsoft, os e-mails de phishing utilizavam modelos HTML sofisticados de estilo empresarial que incluíam instruções de ação urgentes. O objetivo desses designs era criar um senso de autenticidade e urgência, fazendo com que os e-mails parecessem credíveis como comunicações internas legítimas.
Os invasores se passaram por várias identidades, incluindo “COC regulatório interno”, “Comunicações da força de trabalho” e “Relatório de conduta da equipe”. Os e-mails apresentavam alegações de terem sido emitidos por meio de um “canal interno autorizado”, afirmando que links e anexos foram “revisados e aprovados para acesso seguro”.
A campanha empregou táticas para contornar as medidas tradicionais de segurança de e-mail, como SPF, DKIM e DMARC, enviando e-mails de serviços legítimos. As vítimas foram direcionadas por meio de anexos PDF maliciosos, que levaram a páginas de destino prejudiciais.
O processo incluiu vários redirecionamentos CAPTCHA destinados a gerar uma falsa sensação de legitimidade e a filtrar defesas automatizadas. O objetivo final era coletar credenciais e tokens da Microsoft em tempo real, ignorando efetivamente a autenticação multifator (MFA).
