As campanhas de phishing continuam se sofisticando, combinando  engenharia social, infraestrutura de distribuição e hospedagem, e o abuso de autenticação para contornar controles de segurança cada vez mais avançados. Uma campanha de roubo de credenciais em larga escala observada pela Microsoft Defender Research ilustra essa tendência, usando iscas baseadas em “código de conduta”, uma cadeia de ataques em múltiplas etapas e serviços legítimos de e-mail para enviar mensagens totalmente autenticadas a partir de domínios controlados por invasores.

A campanha teve como alvo dezenas de milhares de usuários, principalmente nos Estados Unidos, que os conduziu por várias etapas de CAPTCHA e páginas intermediárias falsas, projetadas para reforçar a legitimidade, enquanto filtravam as detecções automatizadas. As iscas dessa campanha usavam modelos HTML sofisticados, com aparência corporativa, layout estruturado e declarações de autenticidade preventivas, fazendo com que parecessem mais confiáveis do que e-mails típicos de phishing e aumentando sua credibilidade como uma comunicação interna legítima. Como as mensagens continham acusações preocupantes e insistiam em prazos para ação, a campanha criou um senso de urgência e pressão para agir.

A cadeia de ataques levou a uma experiência de login legítima, que fazia parte de um  fluxo de phishing do tipo adversary-in-the-middle (AiTM), permitindo que os invasores atuassem como proxy na sessão de autenticação e capturassem tokens de autenticação que poderiam fornecer acesso imediato à conta. Diferente da coleta tradicional de credenciais, os ataques AiTM interceptam o tráfego de autenticação em tempo real, contornando os métodos de autenticação multifatorial (MFA) que não são resistentes a phishing.

Neste blog, compartilhamos a nossa análise das iscas, infraestrutura e técnicas utilizadas nesta campanha. As organizações podem se defender contra fraudes financeiras iniciadas por phishing ao investir na conscientização dos usuários e adotando soluções avançadas anti-phishing como o Microsoft Defender para Office 365 e na configuração essencial de segurança do e-mail, além de incentivar os usuários a utilizarem navegadores web que suportem SmartScreen. As organizações também podem ativar uma proteção de rede, permitindo que o Windows use o SmartScreen como um proxy web baseado em um host.

Campanha de engenharia social em múltiplas etapas que leva ao roubo de credenciais

Entre 14 e 16 de abril de 2026, a equipe de pesquisa da Microsoft Defender observou uma série de campanhas sofisticadas de phishing que visaram mais de 35 mil usuários em mais de 13 mil organizações em 26 países, com a maioria dos alvos localizados nos Estados Unidos (92%). A campanha não focou em um setor específico, impactando diversos setores, principalmente na saúde (19%), serviços financeiros (18%), serviços profissionais (11%) e tecnologia & software (11%). As mensagens foram distribuídas em múltiplas ondas distintas entre 06:51 UTC de 14 de abril e 03:54 UTC de 16 de abril.

Os e-mails desta campanha simulavam comunicações internas de conformidade ou regulatórias, usando nomes de exibição como “Regulamentação Interna COC”, “Comunicação Interna” e “Relatório de Conduta da Equipe”. O assunto incluía termos como “Registro interno de casos emitido sob política de conduta” e “Lembrete: o empregador abriu um registro de casos de não conformidade”.

Os emissores das mensagens alegavam que uma “revisão do código de conduta” havia sido iniciada, referenciaram nomes específicos da organização embutidos no texto e instruíram os destinatários a “abrir o anexo personalizado” para revisar os materiais do caso. No topo de cada mensagem, um aviso afirmava que a mensagem havia sido “emitida por meio de um canal interno autorizado” e que os links e anexos haviam sido “revisados e aprovados para acesso seguro”, reforçando a suposta legitimidade do e-mail. Para destacar ainda mais a confidencialidade da suposta revisão, o final de cada mensagem continha um banner verde indicando que o conteúdo havia sido criptografado usando o Paubox, um serviço legítimo associado a comunicações compatíveis com a HIPAA.

A análise da infraestrutura indicou que os e-mails da campanha foram enviados usando um serviço legítimo de entrega de e-mails, provavelmente originado de uma máquina virtual Windows hospedada na nuvem. As mensagens foram enviadas de múltiplos endereços de remetente usando domínios provavelmente controlados pelo invasor.

Cada e-mail da campanha incluía um anexo PDF com nomes de arquivos como “Arquivo de registro de casos de conscientização – terça-feira, 14 de abril 2026.pdf” e “Ação disciplinar – caso de manuseio de dispositivos de funcionários.pdf” O anexo forneceu contexto adicional sobre a suposta revisão de conduta, incluindo um resumo do processo de revisão e instruções para acessar a documentação de apoio. Os destinatários foram orientados a clicar no link “Materiais de revisão do caso” dentro do PDF, que iniciou o fluxo de coleta de credenciais.

Ao clicarem, os usuários eram inicialmente direcionados para um dos dois domínios controlados pelo atacante (por exemplo, acceptable-use-policy-calendly[.]de ou compliance-protectionoutlook[.]de). Essas landing pages exibiam um CAPTCHA do Cloudflare, apresentado como um mecanismo para validar que o usuário estava vindo “de uma sessão válida”. Esse CAPTCHA provavelmente funcionou como um mecanismo de barreira para dificultar a análise automatizada e a detonação em sandbox. 

Após completar o CAPTCHA, os usuários eram redirecionados para um site intermediário projetado para prepará-los para a etapa final do ataque. Esta página informava aos usuários que a documentação solicitada era criptografada e exigia autenticação da conta. Embora essa etapa apresentasse vários sinais de phishing por código de dispositivo, só foi possível confirmar a parte AITM da cadeia de ataques.

Após clicar no botão “Revise & assine” fornecido, os usuários receberam um prompt de login solicitando seu endereço de e-mail.

Após o envio, os usuários eram obrigados a completar um segundo CAPTCHA envolvendo seleção de imagens.

Após a conclusão dessas etapas, os usuários recebiam uma mensagem indicando que a verificação foi bem-sucedida e que seu “caso” estava sendo preparado.

Seguindo esses passos, os usuários foram redirecionados para um terceiro site que hospedava a fase final do ataque. A análise do código subjacente indica que o destino final variava dependendo se o usuário acessava a partir de um dispositivo móvel ou desktop.

Na página final, os usuários foram informados de que todos os materiais relacionados à revisão do seu código de conduta haviam sido “registrados de forma segura”, “com carimbo de data” e “mantidos dentro do sistema centralizado de rastreamento de conformidade da organização”. Depois, foram orientados a agendar um horário para discutir o caso, o que exigia o login da conta.

Ao selecionar a opção “Entrar com a Microsoft”, os usuários eram redirecionados para uma página de autenticação da Microsoft, iniciando um fluxo de sequestro de sessão AiTM projetado para capturar tokens de autenticação e comprometer contas de usuário.

Orientação de mitigação e proteção

A Microsoft recomenda as seguintes medidas de mitigação para reduzir o impacto dessa ameaça. Verifique o cartão de recomendações para o status de implantação das medidas de mitigação monitoradas.

• Revisar as configurações recomendadas para a Proteção Online do Exchange e o Microsoft Defender para Office 365 para garantir que sua organização tenha estabelecido defesas essenciais e saiba como monitorar e responder a atividades ameaçadas.
• Investir em treinamento de conscientização do usuário e simulações de phishing. O treinamento de simulação de ataques no Microsoft Defender para Office 365, que também inclui simular mensagens de phishing no Microsoft Teams, é uma abordagem para rodar cenários de ataque realistas na sua organização.
• Ativar Zero-hour auto purge (ZAP) no Defender para Office 365 para colocar em quarentena as correspondências enviadas em resposta a informações de ameaças recém-adquiridas e neutralizar retroativamente mensagens maliciosas de phishing, spam ou malware que já tenham sido entregues em caixas de correio.
• Os profissionais de resposta de acidentes também poderiam verificar e eliminar manualmente e-mails indesejados contendo URLs e/ou campos de assunto que sejam semelhantes, mas não idênticos, aos de mensagens mal conhecidas. Investigue e-mails maliciosos entregues no Microsoft 365 e use o Explorador de Ameaças para encontrar e excluir e-mails de phishing.
• Ativar os Links Seguros e Anexos Seguros no Microsoft Defender para Office 365.
• Ativar a proteção de rede no Microsoft Defender for Endpoint.
• Incentivar os usuários a usarem o Microsoft Edge e outros navegadores que suportem o Microsoft Defender SmartScreen, que identifica e bloqueia sites maliciosos, incluindo sites de phishing, sites fraudulentos e sites que hospedam malware.
• Ativar métodos de autenticação sem senha (por exemplo, Windows Hello, chaves FIDO ou Microsoft Authenticator) para contas que suportam sem senha. Para contas que ainda exigem senhas, use aplicativos de autenticação como o Microsoft Authenticator para autenticação multifator (MFA). Consulte este artigo para os diferentes métodos e recursos de autenticação.
  • Políticas de acesso condicional também podem ser definidas para fortalecer contas privilegiadas com MFA resistente a phishing.
• Configurar a interrupção automática de ataques no Microsoft Defender XDR. A interrupção automática de ataques é projetada para conter ataques em andamento, limitar o impacto sobre os ativos da organização e fornecer mais tempo para que as equipes de segurança remediem totalmente o ataque.

Detecções do Microsoft Defender

Clientes do Microsoft Defender podem consultar a lista de detecções aplicáveis abaixo. O Microsoft Defender coordena detecção, prevenção, investigação e resposta entre endpoints, identidades, e-mails e aplicativos para fornecer proteção integrada contra ataques como a ameaça discutida neste blog.

Ao selecionar a opção “Entrar com a Microsoft”, os usuários eram redirecionados para uma página de autenticação da Microsoft, iniciando um fluxo de sequestro de sessão AiTM projetado para capturar tokens de autenticação e comprometer contas de usuário.

Orientação de mitigação e proteção

A Microsoft recomenda as seguintes medidas de mitigação para reduzir o impacto dessa ameaça. Verifique o cartão de recomendações para o status de implantação das medidas de mitigação monitoradas.

• Revisar as configurações recomendadas para a Proteção Online do Exchange e o Microsoft Defender para Office 365 para garantir que sua organização tenha estabelecido defesas essenciais e saiba como monitorar e responder a atividades ameaçadas.
• Investir em treinamento de conscientização do usuário e simulações de phishing. O treinamento de simulação de ataques no Microsoft Defender para Office 365, que também inclui simular mensagens de phishing no Microsoft Teams, é uma abordagem para rodar cenários de ataque realistas na sua organização.
• Ativar Zero-hour auto purge (ZAP) no Defender para Office 365 para colocar em quarentena as correspondências enviadas em resposta a informações de ameaças recém-adquiridas e neutralizar retroativamente mensagens maliciosas de phishing, spam ou malware que já tenham sido entregues em caixas de correio.
• Os profissionais de resposta de acidentes também poderiam verificar e eliminar manualmente e-mails indesejados contendo URLs e/ou campos de assunto que sejam semelhantes, mas não idênticos, aos de mensagens mal conhecidas. Investigue e-mails maliciosos entregues no Microsoft 365 e use o Explorador de Ameaças para encontrar e excluir e-mails de phishing.
• Ativar os Links Seguros e Anexos Seguros no Microsoft Defender para Office 365.
• Ativar a proteção de rede no Microsoft Defender for Endpoint.
• Incentivar os usuários a usarem o Microsoft Edge e outros navegadores que suportem o Microsoft Defender SmartScreen, que identifica e bloqueia sites maliciosos, incluindo sites de phishing, sites fraudulentos e sites que hospedam malware.
• Ativar métodos de autenticação sem senha (por exemplo, Windows Hello, chaves FIDO ou Microsoft Authenticator) para contas que suportam sem senha. Para contas que ainda exigem senhas, use aplicativos de autenticação como o Microsoft Authenticator para autenticação multifator (MFA). Consulte este artigo para os diferentes métodos e recursos de autenticação.
  • Políticas de acesso condicional também podem ser definidas para fortalecer contas privilegiadas com MFA resistente a phishing.
• Configurar a interrupção automática de ataques no Microsoft Defender XDR. A interrupção automática de ataques é projetada para conter ataques em andamento, limitar o impacto sobre os ativos da organização e fornecer mais tempo para que as equipes de segurança remediem totalmente o ataque.

Detecções do Microsoft Defender

Clientes do Microsoft Defender podem consultar a lista de detecções aplicáveis abaixo. O Microsoft Defender coordena detecção, prevenção, investigação e resposta entre endpoints, identidades, e-mails e aplicativos para fornecer proteção integrada contra ataques como a ameaça discutida neste blog.

Ao selecionar a opção “Entrar com a Microsoft”, os usuários eram redirecionados para uma página de autenticação da Microsoft, iniciando um fluxo de sequestro de sessão AiTM projetado para capturar tokens de autenticação e comprometer contas de usuário.

Orientação de mitigação e proteção

A Microsoft recomenda as seguintes medidas de mitigação para reduzir o impacto dessa ameaça. Verifique o cartão de recomendações para o status de implantação das medidas de mitigação monitoradas.

• Revisar as configurações recomendadas para a Proteção Online do Exchange e o Microsoft Defender para Office 365 para garantir que sua organização tenha estabelecido defesas essenciais e saiba como monitorar e responder a atividades ameaçadas.
• Investir em treinamento de conscientização do usuário e simulações de phishing. O treinamento de simulação de ataques no Microsoft Defender para Office 365, que também inclui simular mensagens de phishing no Microsoft Teams, é uma abordagem para rodar cenários de ataque realistas na sua organização.
• Ativar Zero-hour auto purge (ZAP) no Defender para Office 365 para colocar em quarentena as correspondências enviadas em resposta a informações de ameaças recém-adquiridas e neutralizar retroativamente mensagens maliciosas de phishing, spam ou malware que já tenham sido entregues em caixas de correio.
• Os profissionais de resposta de acidentes também poderiam verificar e eliminar manualmente e-mails indesejados contendo URLs e/ou campos de assunto que sejam semelhantes, mas não idênticos, aos de mensagens mal conhecidas. Investigue e-mails maliciosos entregues no Microsoft 365 e use o Explorador de Ameaças para encontrar e excluir e-mails de phishing.
• Ativar os Links Seguros e Anexos Seguros no Microsoft Defender para Office 365.
• Ativar a proteção de rede no Microsoft Defender for Endpoint.
• Incentivar os usuários a usarem o Microsoft Edge e outros navegadores que suportem o Microsoft Defender SmartScreen, que identifica e bloqueia sites maliciosos, incluindo sites de phishing, sites fraudulentos e sites que hospedam malware.
• Ativar métodos de autenticação sem senha (por exemplo, Windows Hello, chaves FIDO ou Microsoft Authenticator) para contas que suportam sem senha. Para contas que ainda exigem senhas, use aplicativos de autenticação como o Microsoft Authenticator para autenticação multifator (MFA). Consulte este artigo para os diferentes métodos e recursos de autenticação.
  • Políticas de acesso condicional também podem ser definidas para fortalecer contas privilegiadas com MFA resistente a phishing.
• Configurar a interrupção automática de ataques no Microsoft Defender XDR. A interrupção automática de ataques é projetada para conter ataques em andamento, limitar o impacto sobre os ativos da organização e fornecer mais tempo para que as equipes de segurança remediem totalmente o ataque.

Detecções do Microsoft Defender

Clientes do Microsoft Defender podem consultar a lista de detecções aplicáveis abaixo. O Microsoft Defender coordena detecção, prevenção, investigação e resposta entre endpoints, identidades, e-mails e aplicativos para fornecer proteção integrada contra ataques como a ameaça discutida neste blog.

Ao selecionar a opção “Entrar com a Microsoft”, os usuários eram redirecionados para uma página de autenticação da Microsoft, iniciando um fluxo de sequestro de sessão AiTM projetado para capturar tokens de autenticação e comprometer contas de usuário.	Ao selecionar a opção “Entrar com a Microsoft”, os usuários eram redirecionados para uma página de autenticação da Microsoft, iniciando um fluxo de sequestro de sessão AiTM projetado para capturar tokens de autenticação e comprometer contas de usuário.	Ao selecionar a opção “Entrar com a Microsoft”, os usuários eram redirecionados para uma página de autenticação da Microsoft, iniciando um fluxo de sequestro de sessão AiTM projetado para capturar tokens de autenticação e comprometer contas de usuário.
Orientação de mitigação e proteção	Orientação de mitigação e proteção	Orientação de mitigação e proteção
A Microsoft recomenda as seguintes medidas de mitigação para reduzir o impacto dessa ameaça. Verifique o cartão de recomendações para o status de implantação das medidas de mitigação monitoradas.	A Microsoft recomenda as seguintes medidas de mitigação para reduzir o impacto dessa ameaça. Verifique o cartão de recomendações para o status de implantação das medidas de mitigação monitoradas.	A Microsoft recomenda as seguintes medidas de mitigação para reduzir o impacto dessa ameaça. Verifique o cartão de recomendações para o status de implantação das medidas de mitigação monitoradas.

Microsoft Security Copilot

O Microsoft Security Copilot está embutido no Microsoft Defender e oferece às equipes de segurança capacidades baseadas em IA para resumir incidentes, analisar arquivos e scripts, resumir identidades, usar respostas guiadas e gerar resumos de dispositivos, consultas de caça e relatórios de incidentes.

Os clientes também podem implantar agentes de IA, incluindo os seguintes agentes Microsoft Security Copilot, para executar tarefas de segurança de forma eficiente:

• Agente de informação sobre ameaças
• Agente de triagem de phishing
• Agente de caça a ameaças
• Agente dinâmico de detecção de ameaças

O Security Copilot também está disponível como uma experiência independente, na qual os clientes podem realizar tarefas específicas relacionadas à segurança, como investigação de incidentes, análise de usuários e avaliação de impacto de vulnerabilidades. Além disso, o Security Copilot oferece cenários para desenvolvedores que permitem aos clientes criar, testar, publicar e integrar agentes e plugins de IA para atender a necessidades específicas de segurança.

Relatórios de inteligência de ameaças

Os clientes do Microsoft Defender XDR podem usar os seguintes  relatórios de análise de ameaças no portal Defender (requer licença para pelo menos um produto Defender XDR) para obter as informações mais atualizadas sobre o agente da ameaça, atividades maliciosas e técnicas discutidas neste blog. Esses relatórios fornecem inteligência, informações de proteção e ações recomendadas para prevenir, mitigar ou responder a ameaças associadas encontradas nos ambientes dos clientes.

• Perfil de visão geral da ameaça: phishing de credenciais com adversário no meio (AiTM)
• Perfil geral de ameaças: phishing em evolução

Os clientes do Microsoft Security Copilot também podem usar a integração Microsoft Security Copilot no Microsoft Defender Threat Intelligence, seja no portal independente Security Copilot ou na experiência embarcada no portal Microsoft Defender para obter mais informações sobre esse agente ameaçador.

Consultas de caça

Clientes do Microsoft Defender XDR podem executar as seguintes  consultas avançadas de caça para encontrar atividades relacionadas em suas redes:

E-mails de campanha por endereço do remetente

A consulta abaixo identifica e-mails associados a esta campanha usando o endereço de e-mail de envio de uma mensagem.

EmailEvents

| where SenderMailFromAddress in ( “cocpostmaster@cocinternal.com”, “nationaladmin@gadellinet.com”, “nationalintegrity@harteprn.com”, “m365premiumcommunications@cocinternal.com”, “documentviewer@na.businesshellosign.de” )

Indicadores de comprometimento

Indicador	Tipo	Descrição	Primeira ocorrência	Última ocorrência
compliance-protectionoutlook[.]de	Domínio	Domínio que hospeda conteúdo malicioso de campanha	2026-04-14	2026-04-16
acceptable-use-policy-calendly[.]de	Domínio	Domínio que hospeda conteúdo malicioso de campanha	2026-04-14	2026-04-16
cocinternal[.]com	Domínio	Domínio que hospeda o endereço de e-mail do remetente	2026-04-14	2026-04-16
Gadellinet[.]com	Domínio	Domínio que hospeda o endereço de e-mail do remetente	2026-04-14	2026-04-16
Harteprn[.]com	Domínio	Endereço de e-mail do remetente do hospedador de domínio	2026-04-14	2026-04-16
Cocpostmaster[@]cocinternal.com	Endereço de e-mail	Endereço de e-mail usado para enviar e-mails da campanha	2026-04-14	2026-04-16
Nationaladmin[@]gadellinet.com	Endereço de e-mail	Endereço de e-mail usado para enviar e-mails da campanha	2026-04-14	2026-04-16
Nationalintegrity[@]harteprn.com	Endereço de e-mail	Endereço de e-mail usado para enviar e-mails da campanha	2026-04-14	2026-04-16
M365premiumcommunications[@]cocinternal.com	Endereço de e-mail	Endereço de e-mail usado para enviar e-mails da campanha	2026-04-14	2026-04-16
Documentviewer[@]na.businesshellosign.de	Endereço de e-mail	Endereço de e-mail usado para enviar e-mails da campanha	2026-04-14	2026-04-16
Awareness Case Log File – Monday 13th, April 2026.pdf	Nome do arquivo	Nome do anexo PDF contendo o link de phishing	2026-04-14	2026-04-14
Awareness Case Log File – Tuesday 14th, April 2026.pdf	Nome do arquivo	Nome do anexo PDF contendo o link de phishing	2026-04-15	2026-04-15
Awareness Case Log File – Wednesday 15th, April 2026.pdf	Nome do arquivo	Nome do anexo PDF contendo o link de phishing	2026-04-16	2026-04-16
5DB1ECBBB2C90C51D81BDA138D4300B90EA5EB2885CCE1BD921D692214AECBC6	SHA-256	Arquivo Hash do anexo PDF da campanha	2026-04-14	2026-04-16
B5A3346082AC566B4494E6175F1CD9873B64ABE6C902DB49BD4E8088876C9EAD	SHA-256	Arquivo Hash do anexo PDF da campanha	2026-04-14	2026-04-16
11420D6D693BF8B19195E6B98FEDD03B9BCBC770B6988BC64CB788BFABE1A49D	SHA-256	Arquivo Hash do anexo PDF da campanha	2026-04-14	2026-04-16

Saiba mais

Para acessar as pesquisas de segurança mais recentes da Microsoft Threat Intelligence, confira o Blog Microsoft Threat Intelligence.

Para receber notificações sobre novas publicações e participar de discussões nas redes sociais, siga-nos no LinkedIn, X (antigo Twitter) e Bluesky.

Para ouvir análises e histórias da comunidade de Microsoft Threat Intelligence sobre o cenário de ameaças em constante evolução, ouça o podcast Microsoft Threat Intelligence