Relatório da Microsoft aponta crescimento de vetores por links e novas técnicas de entrega no primer trimestre de 2026 (enero-marzo).nnDurante o primer trimestre de 2026 (enero-marzo), a Microsoft Threat Intelligence detectou cerca de 8.300 millones de ameaças de phishing por e‑mail, com volumes que caíram de 2.900 millones em janeiro para 2.600 millones em marzo, e com mudança clara na preferência por entrega baseada em links. Conforme os dados, o phishing por código QR foi o vetor de crescimento mais rápido do período, mais que dobrando entre janeiro e março, enquanto o phishing com bloqueio CAPTCHA evoluiu rapidamente entre os tipos de cargas úteis.nnImpacto da interrupção de Tycoon2FAnnA ação coordenada liderada pela Digital Crime Unit de Microsoft teve efeitos mensuráveis na atividade: após a operação contra a plataforma Tycoon2FA a principios de marzo, o volume de e‑mails associado caiu 15% durante o resto do mês, e o acesso a páginas de phishing ativas foi reduzido de forma significativa. Apesar disso, a plataforma mostrou capacidade de adaptação ao mudar provedores de hospedagem e padrões de registro de domínios, refletindo uma recuperação parcial e não a restauração completa de capacidades anteriores.nnNo início do trimestre, Tycoon2FA já apresentava atividade reduzida: os volumes de janeiro representaram uma queda de 54% em relação a dezembro de 2025. Em janeiro e fevereiro, os domínios passaram a usar TLDs mais recentes (.DIGITAL, .BUSINESS, .CONTRACTORS, .CEO, .COMPANY) e, após a interrupção de março, houve aumento notável de registros com .RU, que chegaram a representar mais de 41% dos domínios Tycoon2FA desde a última semana de março. Além disso, o grupo se afastou de Cloudflare e passou a hospedar domínios em plataformas alternativas.nnCrescimento do phishing por código QRnnO volume de ataques por QR saltou de 7,6 millones em janeiro para 18,7 millones em marzo, um aumento de 146% no trimestre. Os PDFs foram o método de entrega dominante para esse vetor, subindo de 65% em janeiro para 70% em março, enquanto os anexos DOC/DOCX cresceram em número, mas perderam participação relativa. Outra mudança notável foi o aumento de 336% em códigos QR incorporados diretamente no corpo do e‑mail em março, que, embora representem 5% do total, eliminam totalmente a necessidade de um anexo.nnTáticas com CAPTCHA e variação de cargas úteisnnOs autores de ataques usam páginas CAPTCHA como isca visual para retardar a detecção e forçar interação humana, reduzindo a eficácia de scanners automatizados. Após quedas em janeiro e fevereiro, os ataques com bloqueio CAPTCHA mais que dobraram em março (+125%), chegando a 11,9 millones. Observou‑se forte rotação dos métodos de entrega: arquivos HTML tiveram alta volatilidade, arquivos SVG cresceram em fevereiro e recuaram em março, enquanto anexos PDF quadruplicaram em março (+356%) e retomaram lugar de destaque. A participação da infraestrutura Tycoon2FA em sites de phishing bloqueados por CAPTCHA caiu para 41% em março, indicando que a técnica se difundiu entre diversos atores.nnEntre 23 e 25 de fevereiro de 2026, uma campanha enviou mais de 1,2 millones de mensagens a usuários de mais de 53.000 organizações em 23 países. Cada mensagem trazia um arquivo SVG cujo nome incluía uma versão em Base64 do e‑mail do destinatário; ao abrir o SVG, o navegador buscava conteúdo em três hosts específicos, apresentava um CAPTCHA e, depois de completado, exibia uma página de login falsa para roubo de credenciais.nnCargas maliciosas e preferência por roubo de credenciaisnnO phishing por credenciais consolidou sua participação em cargas maliciosas, subindo de 89% em janeiro para 95% em fevereiro e estabilizando em 94% em março. As cargas que exibem telas de login falsificadas, seja via redirecionamento a páginas hospedadas ou por renderização local, dominaram o cenário. A entrega tradicional de malware continuou em declínio e representou apenas 5–6% das cargas no final do trimestre.nnA volatilidade entre tipos de arquivo foi impulsionada por campanhas concentradas: arquivos HTML foram responsáveis por picos em semanas específicas; PDFs maliciosos cresceram de forma consistente e atingiram seu maior volume em mais de um ano; arquivos ZIP/GZIP tiveram oscilações relevantes; e SVGs apareceram brevemente como método notável. Em 17 de março de 2026, uma campanha de larga escala envolvendo mais de 1,5 millones de mensagens aumentou consideravelmente o volume de anexos HTML, com mensagens que redirecionavam por páginas de staging e apresentavam desafio CAPTCHA antes de exibir páginas de login fraudulentas. Essa campanha usou múltiplos provedores PhaaS, incluindo Tycoon2FA, Kratos (antecessor Sneaky2FA) e EvilTokens.nnAtividade de compromisso de e‑mail empresarial (BEC)nnOs ataques de BEC somaram cerca de 10,7 millones no trimestre: alta de 24% em janeiro, queda de 8% em fevereiro e nova alta de 26% em março. Mensagens de contato genéricas representaram entre 82% e 84% dos e‑mails iniciais, enquanto pedidos explícitos de transação financeira representaram 9–10%. Dentro desse segmento menor, pedidos de atualização de folha de pagamento subiram 15% em fevereiro, e solicitações de cartões‑presente caíram 37% em fevereiro antes de subir 108% em março. Esses movimentos indicam ajustes sazonais nos pretextos usados pelos operadores de BEC.nnRecomendações e detecçõesnnDe acordo com as orientações observadas pela Microsoft, organizações devem revisar configurações recomendadas para Exchange Online Protection e Microsoft Defender para Office 365, ativar purga automática de zero horas (ZAP), usar proteção de links e anexos seguros, habilitar proteção de rede em Defender para Endpoint e incentivar métodos de autenticação sem senha, como chaves FIDO e Microsoft Authenticator. Também são recomendadas formações de conscientização e simulações de phishing.nnClientes do ecossistema Microsoft podem empregar detecções descritas para Microsoft Defender em endpoints, correio e serviços de investigação de ameaças, além de utilizar o Microsoft Security Copilot para resumir incidentes e acelerar respostas. Relatórios de Análisis de Amenazas em Microsoft Defender XDR fornecem inteligência adicional sobre atores, técnicas e medidas de proteção.nnPara mais informações, a Microsoft recomenda consultar o blog de Inteligencia de Amenazas e os relatórios de Threat Intelligence divulgados pela empresa.nnAssuntos nesse artigo:nn#phishing, #phishingporcodigoqr, #captcha, #tycoon2fa, #phishingporcredenciais, #microsoftthreatintelligence, #microsoftdefender, #bec, #eviltokens, #kratos, #redvds, #pdf, #html, #svg, #zip, #campanhaphishing, #dominiosru, #mfa, #autenticacaosemsenha, #ciberseguranca
Phishing por código QR cresce e Tycoon2FA perde escala após ação de interrupção em março de 2026
