Microsoft ha segnalato una vasta campagna di phishing che ha preso di mira oltre 35.000 utenti in 13.000 aziende tra il 14 aprile e aprile 16, 2026. La campagna ha colpito utenti in 26 paesi, con il 92% delle email di phishing dirette a organizzazioni negli Stati Uniti.
I settori maggiormente colpiti includono sanità e scienze della vita (19%), servizi finanziari (18%), servizi professionali (11%) e tecnologia e software (11%). Microsoft ha delineato le tattiche utilizzate in questa campagna, sottolineando che gli autori delle minacce hanno utilizzato modelli HTML raffinati in stile aziendale progettati per apparire legittimi.
Nelle e-mail di phishing, gli aggressori hanno impersonato identità come “COC normativo interno”, “Comunicazioni della forza lavoro” e “Rapporto sulla condotta del team”. Queste e-mail erano incentrate sui “registri interni dei casi” e includevano avvisi di non conformità, che creavano un senso di urgenza affinché i destinatari agissero.
Ciascuna e-mail conteneva un avviso che indicava che era stata emessa tramite un canale interno autorizzato, affermando che i collegamenti e gli allegati erano stati controllati per un accesso sicuro. Ciò ha contribuito a rafforzare la credibilità delle e-mail.
Gli attacchi di phishing sono riusciti a bypassare con successo le tradizionali protezioni e-mail, tra cui SPF, DKIM e DMARC, poiché gli aggressori inviavano e-mail utilizzando servizi legittimi. Sono stati inclusi allegati PDF dannosi che reindirizzavano le vittime a pagine di destinazione di phishing.
Le vittime che hanno aperto i PDF sono state incanalate attraverso più CAPTCHA, con l’obiettivo di creare un falso senso di legittimità e filtrare qualsiasi scansione automatizzata. L’obiettivo finale era raccogliere credenziali e token Microsoft in tempo reale, consentendo agli aggressori di aggirare l’autenticazione a più fattori (MFA).
