A Microsoft alertou sobre novas campanhas de phishing que exploram a temporada de declaração de imposto de renda nos Estados Unidos. Esses ataques têm como objetivo roubar credenciais e distribuir malware em larga escala.
Os criminosos utilizam e-mails fraudulentos que simulam comunicações legítimas, como avisos de reembolso, formulários fiscais, lembretes de envio de documentos e mensagens de profissionais da área tributária. Essas mensagens exploram o senso de urgência para induzir as vítimas a agir rapidamente, levando-as a abrir anexos maliciosos, escanear códigos QR ou clicar em links suspeitos.
- Leia também: Como usar domínios sem cookies para melhorar a velocidade do site
- Leia também: Como alterar o IP principal compartilhado no cPanel & WHM (guia completo)
- Leia também: LGPD no WordPress: guia completo para proteger dados e evitar multas
Segundo equipes de Inteligência de Ameaças da Microsoft, algumas campanhas focam em usuários comuns para roubo de dados pessoais e financeiros. Outras têm como alvo contadores e profissionais que lidam com informações sensíveis, já que esses usuários estão habituados a receber comunicações fiscais durante esse período.
Como os ataques funcionam
Os ataques seguem diferentes estratégias, mas compartilham o mesmo objetivo: obter acesso não autorizado e persistente aos sistemas das vítimas.
Em muitos casos, os invasores direcionam os usuários para páginas falsas criadas com plataformas de Phishing como Serviço (PhaaS). Em outros, eles instalam ferramentas legítimas de monitoramento remoto (RMM), como ConnectWise, ScreenConnect, Datto e SimpleHelp. Essas ferramentas permitem controle remoto do dispositivo comprometido.
Entre as principais táticas observadas:
- Uso de perfis falsos de Contadores Públicos Certificados (CPA) para enganar vítimas e roubar credenciais por meio do kit Energy365.
- Envio de códigos QR maliciosos e formulários W-2 falsos para redirecionar usuários a páginas que imitam o login do Microsoft 365.
- Criação de domínios com temática fiscal para distribuir malware disfarçado de documentos legítimos.
- Campanhas que se passam pelo IRS, solicitando o download de formulários falsos relacionados a criptomoedas.
- Abordagens diretas a contadores, solicitando ajuda com declarações e induzindo a instalação de ferramentas maliciosas.
Ataque em larga escala
Em 10 de fevereiro de 2026, uma campanha massiva afetou mais de 29.000 usuários em cerca de 10.000 organizações. Aproximadamente 95% dos alvos estavam nos Estados Unidos.
Os setores mais atingidos foram:
- Serviços financeiros (19%)
- Tecnologia e software (18%)
- Varejo e bens de consumo (15%)
Os e-mails simulavam comunicações do IRS e alegavam irregularidades em declarações fiscais. As vítimas eram instruídas a baixar um suposto software chamado “Visualizador de Transcrição do IRS”.
Ao clicar no link, os usuários eram redirecionados para um site falso que imitava a plataforma SmartVault. Esse site utilizava proteção da Cloudflare para evitar detecção automatizada e entregava um instalador malicioso do ScreenConnect.
Esse software permitia aos atacantes:
- Acesso remoto completo ao sistema
- Roubo de dados
- Coleta de credenciais
- Execução de ações pós-exploração
Outras campanhas identificadas
Além do ataque principal, diversas campanhas paralelas foram detectadas:
- Páginas falsas do Google Meet e Zoom para induzir instalação de softwares de monitoramento.
- Sites fraudulentos que utilizam marcas conhecidas, como Avast, para roubo de dados de cartão.
- Domínios falsos do Telegram que distribuem malware com comunicação ativa com servidores de comando e controle.
- Uso do Azure Monitor para envio de e-mails de phishing a partir de endereços legítimos.
- Campanhas com arquivos ZIP maliciosos disfarçados de softwares populares, incluindo ferramentas de IA, VPNs e modos de jogos.
Esses ataques mostram uma tendência crescente: o uso de ferramentas legítimas para evitar detecção. Segundo relatórios recentes, o abuso de ferramentas RMM aumentou 277% em relação ao ano anterior.
Como se proteger
Para reduzir os riscos, empresas e usuários devem adotar boas práticas de segurança:
- Ativar autenticação de dois fatores (2FA)
- Implementar políticas de acesso condicional
- Verificar cuidadosamente remetentes e links de e-mails
- Evitar downloads de fontes desconhecidas
- Monitorar atividades suspeitas nos sistemas
- Bloquear domínios maliciosos
Além disso, é essencial auditar regularmente o uso de ferramentas de acesso remoto. Como essas soluções são legítimas, elas podem passar despercebidas em ambientes corporativos.
Fonte: The Hacker News —https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.html
