MADRID 1 maio (Portaltic/EP) -
A Microsoft alertou sobre a detecção de 8,3 bilhões de tentativas de ataques de “phishing” por e-mail durante o primeiro trimestre deste ano, lideradas pelo uso de códigos QR e “captcha”, consolidando essa técnica como uma das principais vias de acesso utilizadas pelos cibercriminosos.
Essa informação foi compartilhada pela equipe de especialistas em segurança cibernética da Microsoft Threat Intelligence, que analisou as tentativas de phishing de janeiro a março deste ano e como evoluiu o panorama das ameaças por e-mail, incluindo as mudanças táticas na forma de operar dos atacantes para evitar a detecção e roubar credenciais.
Especificamente, foram detectadas aproximadamente 8,3 bilhões de ameaças de 'phishing' por e-mail durante os três primeiros meses de 2026, com volumes mensais que diminuíram ligeiramente, passando de 2,9 bilhões de tentativas identificadas em janeiro para 2,6 bilhões em março, conforme especificado em seu blog.
Entre as tentativas identificadas, os especialistas destacaram que o 'phishing' por meio do uso de códigos QR se consolidou como "o vetor de ataque que mais cresce". Isso se deve ao fato de que seu uso dobrou durante esses três meses, passando de 7,6 milhões de ataques em janeiro para 18,7 milhões em março, um aumento de 146%.
Esses ataques consistem em inserir URLs maliciosas em códigos QR baseados em imagens, seja no corpo do e-mail ou no conteúdo de um anexo, para redirecionar as vítimas a sites de 'phishing' em dispositivos móveis.
Além disso, foi identificada uma mudança no modus operandi, uma vez que, para evitar a detecção desse método de 'phishing' por meio de códigos QR em e-mails, os cibercriminosos passaram a incorporar esses códigos em anexos no formato PDF. Essa prática passou de representar 65% dos ataques em janeiro para 70% em março.
AUMENTO DE ATAQUES DE 'PHISHING' COM 'CAPTCHA'
Os agentes maliciosos também têm apostado na realização de ataques de 'phishing' com processos 'captcha', ou seja, o sistema de segurança utilizado para diferenciar humanos de bots, que tem sido cada vez mais utilizado em campanhas, com um aumento de 125% em março.
Esse método funciona como uma isca visual, simulando uma verificação de segurança legítima enquanto, na verdade, está ocultando o acesso a conteúdo malicioso. “Ao obrigar os usuários a preencher o 'captcha' antes de acessar o 'malware', eles reduzem a probabilidade de que as ferramentas de varredura automatizadas identifiquem a ameaça e aumentam as chances de obter credenciais ou distribuir 'malware' com sucesso”, afirmou a Microsoft.
Conforme detalhado pela empresa de tecnologia, foram encontrados um total de 11,9 milhões de ataques de 'phishing' por meio de sistemas 'captcha' e, para evitar serem detectados manipulando os usuários e contornando os sistemas automatizados, os cibercriminosos optaram por incluir etapas de verificação que parecem legítimas no processo.
'PHISHING' PARA ROUBO DE CREDENCIAIS
De modo geral, o relatório compartilhado em seu blog detalha que 78% das ameaças por e-mail identificadas nestes meses se basearam em links maliciosos, enquanto as cargas úteis maliciosas representaram 19% dos ataques em janeiro, impulsionadas por campanhas de HTML e arquivos ZIP. No entanto, esses ataques diminuíram para 13% tanto em fevereiro quanto em março.
Com tudo isso, o objetivo principal dos ataques com 'malware' continua sendo o roubo de credenciais, o que indica uma evolução do 'malware' tradicional em direção ao comprometimento da identidade dos usuários, que representou entre 89% e 95% do objetivo dos ataques neste trimestre.
Esse comportamento reflete uma preferência por parte dos agentes maliciosos por ataques de “phishing” de credenciais “hospedados na nuvem, em vez de cargas úteis geradas localmente”, conforme explicou a Microsoft.
DESARTICULAR A PLATAFORMA DE “PHISHING” TYCOON2FA
No âmbito dessa investigação, a Unidade de Crimes Digitais da Microsoft liderou uma ação coordenada com a Europol e parceiros do setor durante o mês de março para desmantelar a plataforma de 'phishing' como serviço (PhaaS) Tycoon2FA, o que reduziu a atividade de ataques associada em 15% durante o restante do mês.
Da mesma forma, também houve uma redução significativa no acesso a páginas de 'phishing' ativas, o que limitou a eficácia da plataforma.
Ativa desde agosto de 2023, a Tycoon2FA tornou-se rapidamente uma das plataformas PhaaS mais difundidas, utilizando técnicas de ataque no meio (AiTM) para tentar burlar as defesas de autenticação multifatorial (MFA) que não são resistentes ao “phishing”.
Assim, o grupo responsável pela plataforma, identificado como Storm-1747, alugava a infraestrutura maliciosa e vendia kits de 'phishing' que imitam páginas de login de diversos aplicativos corporativos e incorporam táticas de evasão, como páginas 'captcha' falsas.
Apesar dos esforços da Microsoft para desmantelar a plataforma, deve-se levar em conta que o Tycoon2FA se adaptou posteriormente para continuar operando por meio de outros provedores de hospedagem, deixando de utilizar o Cloudflare, e outros padrões de registro de domínios.
No entanto, a Microsoft ressaltou que se trata de “uma recuperação parcial” do serviço malicioso, em vez de uma restauração completa de suas capacidades.
Esta notícia foi traduzida por um tradutor automático