Microsoft ha revelado detalles de una campaña de robo de credenciales a gran escala que ha aprovechado una combinación de señuelos con temas de código de conducta y servicios de correo electrónico legítimos para dirigir a los usuarios a dominios controlados por atacantes y robar tokens de autenticación.
La campaña de varias etapas, observada entre el 14 y el 16 de abril de 2026, se dirigió a más de 35 000 usuarios en más de 13 000 organizaciones en 26 países, con el 92 % de los objetivos ubicados en los EE. UU. La mayoría de los correos electrónicos de phishing estaban dirigidos a los sectores de atención médica y ciencias biológicas (19 %), servicios financieros (18 %), servicios profesionales (11 %) y tecnología y software (11 %).
«Los señuelos de esta campaña utilizaron plantillas HTML pulidas de estilo empresarial con diseños estructurados y declaraciones de autenticidad preventivas, lo que los hace parecer más creíbles que los típicos correos electrónicos de phishing y aumenta su plausibilidad como comunicaciones internas legítimas», dijo el equipo de investigación de seguridad de Microsoft Defender y Microsoft Threat Intelligence. dicho.
«Debido a que los mensajes contenían acusaciones y repetidas indicaciones de acción con plazos determinados, la campaña creó una sensación de urgencia y presión para actuar».
Los mensajes de correo electrónico utilizados en la campaña emplean señuelos relacionados con revisiones del código de conducta, utilizando nombres para mostrar como «COC regulatorio interno», «Comunicaciones de la fuerza laboral» e «Informe de conducta del equipo». Las líneas de asunto asociadas con estos correos electrónicos incluyen «Registro de casos interno emitido bajo la política de conducta» y «Recordatorio: el empleador abrió un registro de casos de incumplimiento».
«En la parte superior de cada mensaje, un aviso decía que el mensaje había sido 'emitido a través de un canal interno autorizado' y que los enlaces y archivos adjuntos habían sido 'revisados y aprobados para acceso seguro', reforzando la supuesta legitimidad del correo electrónico», explicó Microsoft.
Se evalúa que los correos electrónicos se envían desde un servicio de entrega de correo electrónico legítimo. Los mensajes también vienen con un archivo adjunto en PDF que supuestamente brinda información adicional sobre la revisión de conducta, incitando a las víctimas a hacer clic en un enlace dentro del documento para iniciar el flujo de recolección de credenciales.
Se ha descubierto que la cadena de ataque dirige a las víctimas a través de múltiples rondas de CAPTCHA y páginas intermedias que están diseñadas para darle al esquema una apariencia de legitimidad, al mismo tiempo que mantiene alejadas las defensas automatizadas.
En última instancia, termina con una experiencia de inicio de sesión que aprovecha las tácticas de phishing del adversario en el medio (AiTM) para recolectar credenciales y tokens de Microsoft en tiempo real, lo que permite de manera efectiva a los actores de amenazas eludir la autenticación multifactor (MFA). El destino final, según Microsoft, depende de si el flujo malicioso se activó desde un dispositivo móvil o un sistema de escritorio.
Tendencias de phishing en 2026
La divulgación se produce cuando el análisis de Microsoft del panorama de amenazas de correo electrónico entre enero y marzo de 2026 reveló que el phishing con códigos QR surgió como el vector de ataque de más rápido crecimiento, mientras que el phishing controlado por CAPTCHA evolucionó «rápidamente» en todos los tipos de carga útil. En total, el gigante tecnológico dijo que detectó alrededor de 8.300 millones de amenazas de phishing basadas en correo electrónico.
De estos, casi el 80% estaban basados en enlaces, donde los archivos HTML y ZIP de gran tamaño representaban una gran parte de las cargas maliciosas distribuidas a través de correos electrónicos de phishing. El objetivo final de la gran mayoría de estos ataques era la recolección de credenciales, y la entrega de malware disminuyó a apenas un 5-6% al final del trimestre.
Microsoft también dijo que los operadores de la plataforma de phishing como servicio (PhaaS) Tycoon 2FA han intentado cambiar los proveedores de alojamiento y los patrones de registro de dominios siguiendo una operación de interrupción coordinada en marzo de 2026.
«Hacia finales de marzo, vimos a Tycoon 2FA alejarse de Cloudflare como servicio de alojamiento y ahora aloja la mayoría de sus dominios en una variedad de plataformas alternativas, lo que sugiere que el grupo está intentando encontrar servicios de reemplazo que ofrezcan protecciones anti-análisis comparables», dijo. agregado.
En un informe publicado en febrero, la Unidad 42 de Palo Alto Networks resaltado cómo los actores de amenazas están abusando de los códigos QR como acortadores de URL para disfrazar destinos maliciosos, enlaces profundos en aplicaciones para robar credenciales de cuentas y eludir la seguridad de la tienda de aplicaciones al vincular a descargas directas de aplicaciones maliciosas.
Los datos de Microsoft muestran un aumento masivo del phishing con códigos QR durante el período de tres meses, ya que los volúmenes de ataques aumentaron de 7,6 millones en enero a 18,7 millones en marzo, lo que representa un aumento del 146%. Un avance notable observado a finales de marzo fue el uso de códigos QR integrados directamente en los cuerpos de los correos electrónicos.
Las estafas de compromiso de correo electrónico empresarial (BEC), por otro lado, mostraron más fluctuaciones, superando más de 4 millones en volumen de ataques en marzo de 2026, frente a más de 3,5 millones en enero y más de 3 millones en febrero. En conjunto, se registraron 10,7 millones de ataques BEC.
A continuación se muestran dos campañas notables observadas durante el primer trimestre de 2026:
- Una campaña grande y sostenida entre el 23 y el 25 de febrero de 2026, que envió más de 1,2 millones de mensajes a usuarios de más de 53.000 organizaciones en 23 países, utilizando señuelos con temas de 401(k), pagos y facturas para servir un archivo adjunto SVG. Al abrir el archivo, las víctimas accedieron a una verificación CAPTCHA, al completarla con éxito, se les mostró una página de inicio de sesión falsa para comprometer sus cuentas.
- Una campaña masiva el 17 de marzo de 2026, que involucró más de 1,5 millones de mensajes maliciosos confirmados enviados a más de 179.000 organizaciones en 43 países. La actividad representó el 7% de todos los archivos adjuntos HTML maliciosos observados en el mes. Cuando se abría, el archivo HTML redirigía a las víctimas a una página de phishing inicial que examinaba al visitante antes de dirigirlo al destino final: una página de phishing que presentaba un desafío CAPTCHA antes de mostrar una página de inicio de sesión fraudulenta.
«Curiosamente, aunque los mensajes de esta campaña compartían herramientas, estructura y características de entrega comunes, la infraestructura que albergaba la carga útil final de phishing estaba vinculada a múltiples proveedores de PhaaS diferentes», dijo Microsoft. «La mayoría de los puntos finales de phishing observados estaban asociados con Tycoon 2FA, mientras que la actividad adicional estaba vinculada a Kratos (anteriormente Sneaky 2FA) y la infraestructura de EvilTokens».
Los hallazgos coinciden con la aparición de campañas de phishing y BEC que abusan de Amazon Simple Email Service (SES) como vector de entrega para evitar los controles SPF, DKIM y DMARC, y facilitar el robo de credenciales a través de páginas de inicio de sesión falsas. Estos ataques suelen funcionar obteniendo acceso a Amazon SES a través de claves de acceso a AWS filtradas.
«La naturaleza insidiosa de los ataques de Amazon SES radica en el hecho de que los atacantes no utilizan dominios sospechosos o peligrosos; en cambio, están aprovechando la infraestructura en la que tanto los usuarios como los sistemas de seguridad han llegado a confiar», Kaspersky dicho.
«Al utilizar este servicio como arma, los atacantes evitan el esfuerzo de crear dominios e infraestructura de correo dudosos desde cero. En lugar de eso, secuestran las claves de acceso existentes para obtener la capacidad de enviar miles de correos electrónicos de phishing. Estos mensajes pasan la autenticación de correo electrónico, se originan en direcciones IP que es poco probable que estén en la lista de bloqueo y contienen enlaces a formas de phishing que parecen completamente legítimas».
