Analysis
A Microsoft identificou uma campanha sofisticada de phishing que visou mais de 13 mil organizações com ataques AiTM para roubo de sessões
09/05/2026
|
A Microsoft alertou para uma campanha sofisticada de phishing que está a visar organizações nos Estados Unidos através de emails falsos relacionados com alegadas violações de conduta interna. Segundo a empresa, foram identificadas mais de 35 mil tentativas de ataque entre 14 e 16 de abril. As mensagens foram enviadas para utilizadores de cerca de 13 mil organizações em 26 países, embora 92% dos alvos estivessem localizados nos EUA. Os setores mais visados incluem saúde e ciências da vida, serviços financeiros, serviços profissionais e tecnologia. Os emails fazem-se passar por comunicações internas de compliance ou regulatórias, utilizando nomes como “Team Conduct Report”, “Workforce Communications” ou “Internal Regulatory COC”. Entre os assuntos identificados encontram-se mensagens como “Reminder: employer opened a non-compliance case log” ou “Internal case log issued under conduct policy”. De acordo com a Microsoft, os atacantes utilizaram um serviço legítimo de entrega de email para distribuir as mensagens, provavelmente a partir de máquinas virtuais Windows alojadas na cloud. Os domínios de envio aparentam estar sob controlo dos atacantes. Os emails incluem anexos PDF intitulados “Awareness Case Log File” ou “Disciplinary Action”, incentivando os utilizadores a clicar num link para rever alegados documentos do processo. Ao seguir o link, a vítima é encaminhada para uma página CAPTCHA da Cloudflare, utilizada como mecanismo para dificultar análises automatizadas. Depois, surge uma página que solicita a revisão e assinatura dos documentos. Numa fase posterior do ataque, o utilizador é levado para uma página falsa de autenticação Microsoft, onde é solicitado o endereço de email e o login na conta Microsoft. A campanha utiliza técnicas de adversary-in-the-middle (AiTM), permitindo aos atacantes intercetar sessões de autenticação em tempo real, capturar tokens válidos e obter acesso imediato às contas comprometidas. Segundo a Microsoft, este tipo de ataque consegue contornar mecanismos tradicionais de autenticação multifator que não sejam resistentes a phishing. A empresa disponibilizou às organizações recomendações de mitigação, indicadores de compromisso (IoCs) e queries de threat hunting para deteção de atividade associada à campanha. |
Receba todas as novidades na sua caixa de correio!
ITS CONF
Rui Silva: “A cibersegurança deixa de ser proteger serviços e passa a ser proteger a confiança em tempo real” (com vídeo)
ITS CONF
Nuno Reis: “Se tivesse 30 minutos para atacar a vossa empresa, não começava pela infraestrutura” (com vídeo)
NEWS
Cibersegurança ganha peso geopolítico global
ITS CONF
Check Point: “O exposure management já não é sobre vulnerabilidades; é sobre a redução do que um atacante pode explorar” (com vídeo)
THREATS
CISA alerta para falhas em sistemas Cisco e Zimbra
ANALYSIS
Metade das empresas já sofreu incidentes com IA
ANALYSIS
Eset alerta para evolução dos EDR killers
ANALYSIS
Banca europeia exposta a risco de terceiros
ANALYSIS
Malware destrutivo Lotus atinge setor energético
ANALYSIS
Ciberataques aceleram investimento na segurança de parceiros
