A Microsoft divulgou detalhes sobre uma campanha de roubo de credenciais em larga escala que explorou iscas temáticas de código de conduta e serviços de e-mail legítimos para direcionar usuários a domínios controlados por atacantes. A campanha multietapa, observada entre 14 e 16 de abril de 2026, atingiu mais de 35.000 usuários em mais de 13.000 organizações em 26 países.
Contexto da campanha de phishing
Os atacantes utilizaram uma combinação sofisticada de engenharia social e infraestrutura técnica para burlar filtros de segurança. As mensagens de phishing eram disfarçadas como notificações oficiais de código de conduta, aproveitando-se da urgência percebida pelos funcionários para induzir cliques em links maliciosos. O uso de serviços de e-mail legítimos dificultou a detecção inicial por sistemas de filtragem baseados em reputação.
Vetor e exploração
O ataque foi executado em múltiplas etapas. Inicialmente, os usuários eram redirecionados para páginas de login falsas que capturavam tokens de autenticação. Uma vez obtidos os tokens, os atacantes podiam acessar contas de e-mail corporativo, exfiltrar dados sensíveis e, potencialmente, comprometer sistemas de identidade federada. A campanha focou em roubo de tokens de sessão para evitar detecção por senhas alteradas.
Impacto e alcance
O alcance global da campanha, afetando 26 países, indica uma operação organizada com recursos significativos. O número de organizações atingidas (mais de 13.000) sugere que o ataque foi amplamente distribuído, possivelmente utilizando listas de e-mail vazadas ou técnicas de varredura de endereços. O impacto potencial inclui perda de dados corporativos, interrupção de operações e danos à reputação das vítimas.
Medidas de mitigação recomendadas
Organizações devem revisar imediatamente os logs de acesso de e-mail e identificar tentativas de login a partir de locais incomuns ou dispositivos não gerenciados. A implementação de autenticação multifator (MFA) baseada em hardware ou aplicativos é essencial para mitigar o risco de roubo de tokens. Além disso, a revisão de políticas de segurança de e-mail e o treinamento de conscientização sobre phishing devem ser reforçados.
O que os CISOs devem fazer imediatamente
Equipes de segurança devem bloquear domínios maliciosos identificados pela Microsoft e revogar tokens de sessão suspeitos. A comunicação proativa com os usuários sobre a campanha e a instrução para não clicar em links suspeitos são medidas imediatas. A revisão de políticas de acesso condicional e a implementação de detecção de anomalias de comportamento de usuário (UEBA) também são recomendadas.