Microsoft informó de una gran campaña de phishing dirigida a más de 35.000 usuarios en 13.000 empresas entre el 14 de abril y 16 de abril de 2026. La campaña afectó a usuarios en 26 países, con el 92% de los correos electrónicos de phishing dirigidos a organizaciones en Estados Unidos.
Los sectores más afectados incluyeron atención médica y ciencias de la vida (19%), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%). Microsoft describió las tácticas utilizadas en esta campaña y señaló que los actores de amenazas emplearon plantillas HTML pulidas de estilo empresarial diseñadas para parecer legítimas.
En los correos electrónicos de phishing, los atacantes se hicieron pasar por identidades como “COC regulatorio interno”, “Comunicaciones de la fuerza laboral” e “Informe de conducta del equipo”. Estos correos electrónicos tenían como tema “registros de casos internos” e incluían advertencias sobre incumplimiento, lo que creaba una sensación de urgencia para que los destinatarios actuaran.
Cada correo electrónico incluía un aviso que indicaba que fue enviado a través de un canal interno autorizado, afirmando que los enlaces y archivos adjuntos habían sido revisados para garantizar un acceso seguro. Esto ayudó a reforzar la credibilidad de los correos electrónicos.
Los esfuerzos de phishing lograron eludir las protecciones de correo electrónico tradicionales, incluidas SPF, DKIM y DMARC, ya que los atacantes enviaron correos electrónicos utilizando servicios legítimos. Se incluyeron archivos adjuntos en PDF maliciosos que redireccionaban a las víctimas a páginas de destino de phishing.
Las víctimas que abrieron los archivos PDF fueron canalizadas a través de múltiples CAPTCHA, con el objetivo de crear una falsa sensación de legitimidad y filtrar cualquier escaneo automatizado. El objetivo final era recolectar credenciales y tokens de Microsoft en tiempo real, permitiendo a los atacantes eludir la autenticación multifactor (MFA).
