Microsoft ha revelado detalles de una campaña de robo de credenciales a gran escala que combina código con temática de señuelo con servicios de correo electrónico legítimos para atraer a los usuarios a dominios controlados por atacantes y robar tokens de autenticación.
Esta campaña de varias etapas, observada del 14 al 16 de abril de 2026, se dirigió a más de 35 000 usuarios en más de 13 000 organizaciones en 26 países, con el 92 % de los objetivos ubicados en los Estados Unidos. La mayoría de los correos electrónicos de phishing se dirigieron a los sectores de atención médica y ciencias biológicas (19%), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%).
El equipo de investigación de seguridad de Microsoft Defender y Microsoft Threat Intelligence dijeron: «Los señuelos de la campaña utilizaron plantillas HTML sofisticadas de estilo empresarial con diseños estructurados y declaraciones de autenticación preventiva, haciéndolos parecer más confiables que los típicos correos electrónicos de phishing y aumentando su credibilidad como comunicaciones internas legítimas».
«La campaña creó una sensación de urgencia y presión para tomar medidas, ya que los mensajes incluían acusaciones repetidas y llamados a la acción con plazos determinados».
Los mensajes de correo electrónico utilizados en esta campaña utilizan señuelos relacionados con revisiones del código de conducta, utilizando nombres para mostrar como «Reglamento interno COC», «Comunicaciones de los empleados» e «Informe de conducta del equipo». Las líneas de asunto de estos correos electrónicos incluyen «Registro de incidente interno publicado según la política de conducta» o «Recordatorio: el empleador ha publicado un registro de incidente que no cumple».
«El comienzo de cada mensaje decía que el mensaje fue ‘publicado a través de un canal interno aprobado’ y que los enlaces y archivos adjuntos habían sido ‘revisados y aprobados para un acceso seguro’, respaldando la legitimidad del correo electrónico», dijo Microsoft.
Se considerará que el correo electrónico proviene de un servicio de entrega de correo electrónico legítimo. El mensaje también incluye un archivo adjunto en PDF que pretende proporcionar información adicional sobre la revisión de conducta, invitando a las víctimas a hacer clic en un enlace dentro del documento para comenzar el flujo de recopilación de credenciales.
Se descubrió que esta cadena de ataque atraía a las víctimas a través de múltiples CAPTCHA y páginas intermedias diseñadas para disfrazar la legitimidad del esquema y al mismo tiempo frustrar las defensas automatizadas.
El resultado final es una experiencia de inicio de sesión que aprovecha las tácticas de phishing Adversary-in-the-middle (AiTM) para recopilar credenciales y tokens de Microsoft en tiempo real, lo que permite a los atacantes eludir de manera efectiva la autenticación multifactor (MFA). Según Microsoft, el destino final depende de si el flujo malicioso se activó desde un dispositivo móvil o un sistema de escritorio.
Tendencias del phishing en 2026
La divulgación se produce cuando el análisis de Microsoft del panorama de amenazas de correo electrónico de enero a marzo de 2026 revela que el phishing de códigos QR se ha convertido en el vector de ataque de más rápido crecimiento y el phishing de puerta CAPTCHA está evolucionando «rápidamente» en todos los tipos de carga útil. El gigante tecnológico anunció que ha detectado aproximadamente 8.300 millones de amenazas de phishing basadas en correo electrónico en total.
De estos, casi el 80% estaban basados en enlaces, y los archivos HTML y ZIP de gran tamaño constituían la mayoría de las cargas útiles maliciosas distribuidas a través de correos electrónicos de phishing. El objetivo final de la mayoría de estos ataques era la recolección de credenciales, y la entrega de malware se redujo a sólo un 5-6 % al final del trimestre.
Microsoft también dijo que el operador de la plataforma de phishing como servicio (PhaaS) Tycoon 2FA intentó cambiar su proveedor de alojamiento y sus patrones de registro de dominio luego de una operación de sabotaje coordinada en marzo de 2026.
«Hacia finales de marzo, nos enteramos de que Tycoon 2FA se alejó de Cloudflare como servicio de alojamiento y ahora aloja la mayoría de sus dominios en varias plataformas alternativas. Esto sugiere que el grupo está buscando servicios alternativos que ofrezcan una protección anti-análisis comparable», añadió.
En un informe publicado en febrero, la Unidad 42 de Palo Alto Networks destacó que los atacantes están abusando de los códigos QR como acortadores de URL para disfrazar destinos maliciosos, robar credenciales de cuentas mediante enlaces profundos dentro de la aplicación y eludir la seguridad de la tienda de aplicaciones al vincular a descargas directas de aplicaciones maliciosas.
Según datos de Microsoft, el phishing con códigos QR ha aumentado significativamente en los últimos tres meses, con un volumen de ataques que pasó de 7,6 millones en enero a 18,7 millones en marzo, un aumento del 146%. Un avance notable observado a finales de marzo fue el uso de códigos QR integrados directamente en el cuerpo del correo electrónico.
El fraude de compromiso de correo electrónico empresarial (BEC), por otro lado, mostró una mayor volatilidad, con un volumen de ataques que superó los 4 millones en marzo de 2026, frente a más de 3,5 millones en enero y más de 3 millones en febrero. En total, se registraron 10,7 millones de ataques BEC.
Dos campañas notables observadas en el primer trimestre de 2026 son: –
Campaña en curso a gran escala del 23 al 25 de febrero de 2026. Envíe más de 1,2 millones de mensajes a usuarios en más de 53 000 organizaciones en 23 países utilizando 401(k), pagos y señuelos con temas de facturas con archivos adjuntos SVG. Al abrir el archivo, las víctimas son dirigidas a una verificación CAPTCHA y, una vez completado con éxito, se les presenta una página de inicio de sesión falsa para comprometer su cuenta. En una campaña masiva que tuvo lugar el 17 de marzo de 2026, se enviaron más de 1,5 millones de mensajes maliciosos verificados a más de 179.000 organizaciones en 43 países. Esta actividad representó el 7% de todos los archivos adjuntos HTML maliciosos observados durante el mes. Al abrir este archivo HTML, las víctimas son redirigidas a una página de phishing inicial donde se las examina antes de dirigir al visitante a su destino final. La página de phishing presentó un desafío CAPTCHA antes de mostrar una página de inicio de sesión fraudulenta.
«Curiosamente, aunque los mensajes de esta campaña compartían herramientas, estructura y características de entrega comunes, la infraestructura que albergaba la carga útil de phishing final estaba vinculada a múltiples proveedores de PhaaS diferentes», dijo Microsoft. «Si bien la mayoría de los puntos finales de phishing observados estaban relacionados con Tycoon 2FA, otras actividades estaban relacionadas con Kratos (anteriormente Sneaky 2FA) y la infraestructura de EvilTokens».
Este hallazgo es consistente con el surgimiento de campañas de phishing y BEC que explotan Amazon Simple Email Service (SES) como vector de entrega para eludir las comprobaciones SPF, DKIM y DMARC y facilitar el robo de credenciales a través de páginas de inicio de sesión falsas. Estos ataques suelen funcionar obteniendo acceso a Amazon SES a través de claves de acceso de AWS comprometidas.
«La naturaleza insidiosa del ataque a Amazon SES radica en el hecho de que los atacantes no están utilizando dominios cuestionables o peligrosos, sino más bien una infraestructura en la que tanto los usuarios como los sistemas de seguridad han llegado a confiar», dijo Kaspersky.
«Al utilizar este servicio como arma, los atacantes evitan la molestia de crear dominios e infraestructura de correo electrónico cuestionables desde cero. En cambio, obtienen la capacidad de secuestrar claves de acceso existentes y enviar miles de correos electrónicos de phishing a la vez. Estos mensajes pasan la autenticación de correo electrónico, se originan en direcciones IP que es poco probable que estén en la lista de bloqueo y contienen enlaces a formularios de phishing que parecen completamente legítimos».
Source link
