Microsoft meldete eine Phishing-Kampagne, die zwischen dem 14. und 16. April 2026 auf über 35.000 Benutzer in 13.000 Unternehmen, hauptsächlich in den Vereinigten Staaten, abzielte. Diese Kampagne betraf Organisationen in 26 Ländern, wobei 92 % der E-Mails an Unternehmen mit Sitz in den USA gesendet wurden
Am stärksten betroffen waren die Bereiche Gesundheitswesen und Biowissenschaften, auf die 19 % der Opfer entfielen. Weitere betroffene Sektoren waren Finanzdienstleistungen mit 18 %, professionelle Dienstleistungen mit 11 % sowie Technologie und Software program mit ebenfalls 11 %.
Laut der Empfehlung von Microsoft verwendeten die Phishing-E-Mails ausgefeilte HTML-Vorlagen im Unternehmensstil, die dringende Handlungsaufforderungen enthielten. Diese Gestaltung sollte ein Gefühl von Authentizität und Dringlichkeit erzeugen und die E-Mails als legitime interne Kommunikation glaubwürdig erscheinen lassen.
Die Angreifer gaben sich unter verschiedenen Identitäten aus, darunter „Inner Regulatory COC“, „Workforce Communications“ und „Staff Conduct Report“. In den E-Mails wurde behauptet, sie seien über einen „autorisierten internen Kanal“ versandt worden, und es hieß, Hyperlinks und Anhänge seien „überprüft und für den sicheren Zugriff freigegeben“ worden.
Die Kampagne nutzte Taktiken, um herkömmliche E-Mail-Sicherheitsmaßnahmen wie SPF, DKIM und DMARC zu umgehen, indem E-Mails von legitimen Diensten versendet wurden. Die Opfer wurden über bösartige PDF-Anhänge geleitet, die zu schädlichen Zielseiten führten.
Der Prozess beinhaltete mehrere CAPTCHA-Weiterleitungen, die dazu dienen sollten, ein falsches Gefühl der Legitimität zu erzeugen und automatisierte Abwehrmaßnahmen herauszufiltern. Das ultimative Ziel bestand darin, Microsoft-Anmeldeinformationen und -Token in Echtzeit zu sammeln und dabei die Multi-Faktor-Authentifizierung (MFA) effektiv zu umgehen.