Microsoft revela al público detalles de una campaña masiva de phishing Robo masivo de credenciales. Utiliza una combinación de honeypots con temas de códigos de conducta y servicios de correo electrónico legítimos para dirigir a los usuarios a dominios controlados por atacantes y robar tokens de autenticación.

La campaña de varias etapas, observada a mediados de abril, se dirigió a más de 35.000 usuarios en más de 13.000 organizaciones en 26 países, con el 92% de los objetivos ubicados en los Estados Unidos. La mayoría de los correos electrónicos de phishing se dirigieron a las industrias de atención médica y ciencias biológicas (19%), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%).

«Los honeypots de esta campaña utilizan hermosas plantillas HTML de estilo corporativo con diseños estructurados y afirmaciones de autenticidad preventivas, lo que los hace parecer más creíbles que los típicos correos electrónicos de phishing y aumenta su credibilidad como comunicaciones internas legítimas».» de los equipos de investigación de seguridad de Microsoft Defender y Microsoft Threat Intelligence. Debido a que los mensajes contenían acusaciones y repetidas solicitudes de acción con plazos determinados, la campaña creó una sensación de urgencia y presión para tomar medidas.

Correo electrónico utilizado en el evento carnada Información relacionada con las revisiones del Código de conducta, que se muestra bajo los nombres Código de conducta de gobierno interno, Comunicaciones de los empleados e Informes de conducta del equipo. Las líneas de asunto de los correos electrónicos incluyen «Registro de casos interno emitido según la política de conducta» y «Alerta: el empleador ha abierto un registro de casos de incumplimiento».

En la parte superior de cada mensaje hay una notificación que indica que el mensaje ha sido «Publicado a través de canales internos autorizados» Microsoft explicó que los enlaces y archivos adjuntos habían sido «revisados ​​y aprobados por Security Access», lo que refuerza la supuesta legitimidad del correo electrónico.

Microsoft ha determinado que el correo electrónico fue enviado De un servicio de correo electrónico legítimo. Los mensajes también incluyen un archivo PDF adjunto que supuestamente proporciona información adicional sobre la revisión del comportamiento, lo que solicita a las víctimas que hagan clic en un enlace del documento para comenzar el proceso de autenticación. La cadena de ataque lleva a las víctimas a través de múltiples rondas de CAPTCHA y páginas intermedias, diseñadas para dar legitimidad al esquema y al mismo tiempo evitar que las defensas automatizadas pasen.

Al final, el proceso terminó utilizando una táctica de phishing de intermediario (AiTM) para obtener credenciales y tokens de Microsoft en tiempo real, lo que permitió al atacante eludir la autenticación multifactor (MFA). Microsoft dijo que el destino final depende de si el ataque se lanzó desde un dispositivo móvil o una computadora de escritorio.

Cuidado con el phishing

Antes de esta divulgación, Microsoft realizó un análisis del panorama de amenazas de correo electrónico entre enero y marzo de 2026, que reveló: Usar códigos QR para phishing El phishing CAPTCHA, que ya es el vector de ataque de más rápido crecimiento, está evolucionando rápidamente en todos los tipos de carga útil. El gigante tecnológico afirma haber detectado alrededor de 8.300 millones de amenazas de phishing por correo electrónico en total.

De estos, casi el 80% están basados ​​en enlaces, y los archivos HTML y ZIP de gran tamaño representan una gran parte de las cargas útiles maliciosas distribuidas a través de correos electrónicos de phishing. El objetivo final de la gran mayoría de los ataques es robar credenciales y, al final del trimestre, la distribución de malware se había reducido a sólo un 5-6%.

En un informe publicado en febrero, la Unidad 42 de Palo Alto Networks destacó cómo los ciberdelincuentes están abusando de los códigos QR como acortadores de URL para ocultar destinos maliciosos, realizando enlaces profundos dentro de aplicaciones para robar credenciales de cuentas y eludiendo la seguridad de las tiendas de aplicaciones mediante enlaces a descargas directas de aplicaciones maliciosas.

visualización de datos de Microsoft Los ataques de phishing con códigos QR aumentan significativamente Durante el período de tres meses, el número de ataques aumentó un 146%, de 7,6 millones en enero a 18,7 millones en marzo. Una novedad notable observada a finales de marzo fue el uso de códigos QR insertados directamente en el cuerpo de los correos electrónicos. Las estafas de compromiso de correo electrónico empresarial (BEC), por otro lado, mostraron una mayor volatilidad, con más de 4 millones de ataques en marzo de 2026, en comparación con más de 3,5 millones en enero y más de 3 millones en febrero. Se han registrado un total de 10,7 millones de ataques BEC.

No hay nada nuevo bajo el sol… Hace unas semanas os advertíamos sobre las estafas en las declaraciones de impuestos que surgen cada año al ajustar cuentas con la agencia tributaria. Las campañas de phishing descubiertas se centran en dos líneas principales: suplantar a las autoridades fiscales, utilizando señuelos relacionados con documentos caducados, reembolsos pendientes o verificación de cuentas; y apuntar directamente a instituciones financieras, clientes bancarios y proveedores de servicios financieros. Ten cuidado; ¡no muerdas!