Microsoft ha segnalato una campagna di phishing che ha preso di mira oltre 35.000 utenti in 13.000 aziende, principalmente negli Stati Uniti, tra il 14 e il 16 aprile 2026. Questa campagna ha avuto un impatto su organizzazioni in 26 paesi, con il 92% delle e-mail inviate a entità con sede negli Stati Uniti.
I settori della sanità e delle scienze della vita sono stati i più colpiti, rappresentando il 19% delle vittime. Altri settori colpiti includono i servizi finanziari con il 18%, i servizi professionali con l’11% e la tecnologia e il software, sempre con l’11%.
Secondo l’avviso di Microsoft, le e-mail di phishing utilizzavano modelli HTML raffinati e di stile aziendale che includevano istruzioni di azione urgenti. Questi progetti avevano lo scopo di creare un senso di autenticità e urgenza, facendo apparire le e-mail credibili come comunicazioni interne legittime.
Gli aggressori si sono spacciati per varie identità, tra cui “COC normativo interno”, “Comunicazioni della forza lavoro” e “Rapporto sulla condotta del team”. Le e-mail affermavano di essere state inviate attraverso un “canale interno autorizzato”, affermando che i collegamenti e gli allegati erano “rivisti e approvati per l’accesso sicuro”.
La campagna ha utilizzato tattiche per aggirare le tradizionali misure di sicurezza della posta elettronica come SPF, DKIM e DMARC inviando email da servizi legittimi. Le vittime venivano indirizzate tramite allegati PDF dannosi, che portavano a pagine di destinazione dannose.
Il processo prevedeva reindirizzamenti multipli di CAPTCHA destinati a generare un falso senso di legittimità e a filtrare le difese automatizzate. L’obiettivo finale era raccogliere credenziali e token Microsoft in tempo reale, aggirando efficacemente l’autenticazione a più fattori (MFA).
