A Microsoft divulgou detalhes de uma campanha de roubo de credenciais em larga escala que utilizou uma combinação de iscas com tema de código de conduta e serviços de e-mail legítimos para direcionar usuários a domínios controlados por atacantes e roubar tokens de autenticação. A campanha multiestágio, observada entre 14 e 16 de abril de 2026, visou mais de 35.000 usuários em mais de 13.000 organizações em 26 países, com 92% dos alvos localizados nos EUA. A maioria dos e-mails de phishing foi direcionada aos setores de saúde e ciências da vida (19%), serviços financeiros (18%), serviços profissionais (11%) e tecnologia e software (11%). "As iscas nesta campanha usaram modelos HTML polidos, no estilo corporativo, com layouts estruturados e declarações de autenticidade preemptivas, tornando-as mais críveis do que e-mails de phishing típicos e aumentando sua plausibilidade como comunicações internas legítimas", disseram a **Microsoft Defender** Security Research Team e a Microsoft Threat Intelligence [disse](https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/). "Como as mensagens continham acusações e repetidas solicitações de ação com prazo determinado, a campanha criou um senso de urgência e pressão para agir." As mensagens de e-mail usadas na campanha empregam iscas relacionadas a revisões de código de conduta, usando nomes de exibição como "Internal Regulatory COC", "Workforce Communications" e "Team Conduct Report". As linhas de assunto associadas a esses e-mails incluem "Internal case log issued under conduct policy" e "Reminder: employer opened a non-compliance case log". "No topo de cada mensagem, um aviso declarava que a mensagem havia sido 'emitida através de um canal interno autorizado' e que links e anexos haviam sido 'revisados e aprovados para acesso seguro', reforçando a suposta legitimidade do e-mail", explicou a Microsoft. Estima-se que os e-mails sejam enviados de um serviço de entrega de e-mail legítimo. As mensagens também vêm com um anexo PDF que supostamente fornece informações adicionais sobre a revisão de conduta, atraindo as vítimas a clicar em um link dentro do documento para iniciar o fluxo de coleta de credenciais. A cadeia de ataque foi encontrada direcionando vítimas através de várias rodadas de CAPTCHA e páginas intermediárias projetadas para dar ao esquema uma aparência de legitimidade, ao mesmo tempo em que mantém as defesas automatizadas afastadas.  Finalmente, termina com uma experiência de login que utiliza táticas de phishing adversário-no-meio (AiTM) para coletar credenciais e tokens da Microsoft em tempo real, permitindo efetivamente que os atores de ameaça contornem a autenticação multifator (MFA). O destino final, de acordo com a Microsoft, depende se o fluxo malicioso foi acionado de um dispositivo móvel ou de um sistema desktop. ### Tendências de Phishing em 2026 A divulgação ocorre enquanto a análise da Microsoft sobre o cenário de ameaças de e-mail entre janeiro e março de 2026 revelou que o phishing por código QR emergiu como o vetor de ataque de crescimento mais rápido, enquanto o phishing com CAPTCHA evoluiu "rapidamente" em todos os tipos de payload. No total, a gigante da tecnologia disse ter detectado cerca de 8,3 bilhões de ameaças de phishing baseadas em e-mail. Destes, quase 80% eram baseados em links, onde grandes arquivos HTML e ZIP representaram uma grande parte dos payloads maliciosos distribuídos via e-mails de phishing. O objetivo final da vasta maioria desses ataques foi a coleta de credenciais, com a entrega de malware diminuindo para meros 5-6% até o final do trimestre. A Microsoft também disse que os operadores da plataforma de phishing-as-a-service (PhaaS) **Tycoon 2FA** tentaram mudar provedores de hospedagem e padrões de registro de domínio após uma [operação coordenada de interrupção](https://thehackernews.com/2026/03/europol-led-operation-takes-down-tycoon.html) em março de 2026. "No final de março, vimos o Tycoon 2FA se afastando da **Cloudflare** como serviço de hospedagem e agora hospedando a maioria de seus domínios em uma variedade de plataformas alternativas, sugerindo que o grupo está tentando encontrar serviços substitutos que ofereçam proteções anti-análise comparáveis", acrescentou [disse](https://www.microsoft.com/en-us/security/blog/2026/04/30/email-threat-landscape-q1-2026-trends-and-insights/).  Em um relatório publicado em fevereiro, a Unit 42 da **Palo Alto Networks** [destacou](https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/) como os atores de ameaça abusam de códigos QR como encurtadores de URL para disfarçar destinos maliciosos, deep links dentro de aplicativos para roubar credenciais de conta e contornar a segurança da App Store vinculando a downloads diretos de aplicativos maliciosos. Dados da Microsoft mostram um aumento massivo no phishing por código QR durante o período de três meses, com volumes de ataque saltando de 7,6 milhões em janeiro para 18,7 milhões em março, representando um aumento de 146%. Um desenvolvimento notável observado no final de março foi o uso de códigos QR incorporados diretamente no corpo dos e-mails. Os golpes de comprometimento de e-mail comercial (BEC), por outro lado, apresentaram mais flutuações, cruzando mais de 4 milhões em volume de ataque em março de 2026, acima dos mais de 3,5 milhões em janeiro e mais de 3 milhões em fevereiro. Coletivamente, 10,7 milhões de ataques BEC foram registrados. Duas campanhas notáveis observadas durante o Q1 2026 são as seguintes - * Uma campanha grande e sustentada entre 23 e 25 de fevereiro de 2026, que enviou mais de 1,2 milhão de mensagens para usuários em mais de 53.000 organizações em 23 países, usando iscas de 401(k), pagamento e fatura para servir um anexo SVG. Abrir o arquivo direcionava as vítimas a uma verificação CAPTCHA, que, ao ser concluída com sucesso, mostrava uma página de login falsa para comprometer suas contas. * Uma campanha massiva em 17 de março de 2026, que envolveu mais de 1,5 milhão de mensagens maliciosas confirmadas enviadas para mais de 179.000 organizações em 43 países. A atividade representou 7% de todos os anexos HTML maliciosos observados no mês. Ao serem abertos, o arquivo HTML redirecionava as vítimas para uma página de phishing inicial que filtrava o visitante antes de encaminhá-lo para o destino final: uma página de phishing que apresentava um desafio CAPTCHA antes de servir uma página de login fraudulenta. "Interessantemente, embora as mensagens nesta campanha compartilhassem ferramentas, estrutura e características de entrega comuns, a infraestrutura que hospedava o payload de phishing final estava ligada a vários provedores de PhaaS diferentes", disse a Microsoft. "A maioria dos endpoints de phishing observados estava associada ao Tycoon 2FA, enquanto atividades adicionais estavam ligadas à infraestrutura do **Kratos** (anteriormente Sneaky 2FA) e **EvilTokens**." As descobertas coincidem com o surgimento de campanhas de phishing e BEC que abusam do **Amazon Simple Email Service (SES)** como um vetor de entrega para contornar verificações SPF, DKIM e DMARC, e facilitar o roubo de credenciais via páginas de login falsas. Esses ataques geralmente funcionam obtendo acesso ao Amazon SES através de [chaves de acesso AWS vazadas](https://www.repost.aws/articles/ARoBXj63rWSt2Ww7XKlVV72g/how-aws-responds-to-exposed-credentials-and-how-you-can-protect-your-account). "A natureza insidiosa dos ataques do Amazon SES reside no fato de que os atacantes não estão usando domínios suspeitos ou perigosos; em vez disso, eles estão aproveitando a infraestrutura que tanto usuários quanto sistemas de segurança aprenderam a confiar", disse a **Kaspersky** [disse](https://securelist.com/amazon-ses-phishing-and-bec-attacks/119623/). "Ao armar este serviço, os atacantes evitam o esforço de construir domínios e infraestrutura de e-mail duvidosos do zero. Em vez disso, eles sequestram chaves de acesso existentes para obter a capacidade de enviar milhares de e-mails de phishing. Essas mensagens passam pela autenticação de e-mail, originam-se de endereços IP que provavelmente não serão bloqueados,