Microsoft a signalé une vaste campagne de phishing ciblant plus de 35 000 utilisateurs dans 13 000 entreprises entre le 14 et le mois d’avril. 16 décembre 2026. La campagne a touché des utilisateurs dans 26 pays, avec 92 % des e-mails de phishing dirigés vers des organisations aux États-Unis.

Les secteurs les plus touchés étaient les soins de santé et les sciences de la vie (19 %), les services financiers (18 %), les services professionnels (11 %), ainsi que la technologie et les logiciels (11 %). Microsoft a décrit les tactiques utilisées dans cette campagne, notant que les acteurs malveillants utilisaient des modèles HTML raffinés de style entreprise, conçus pour paraître légitimes.

Dans les e-mails de phishing, les attaquants ont usurpé l’identité d’identités telles que « COC de réglementation interne », « Communications avec le personnel » et « Rapport de conduite d’équipe ». Ces e-mails avaient pour thème les « journaux de cas internes » et comprenaient des avertissements en cas de non-conformité, ce qui créait un sentiment d’urgence pour que les destinataires agissent.

Chaque e-mail comportait un avis indiquant qu’il avait été émis via un canal interne autorisé, affirmant que les liens et les pièces jointes avaient été examinés pour un accès sécurisé. Cela a contribué à renforcer la crédibilité des e-mails.

Les efforts de phishing ont réussi à contourner les protections de messagerie traditionnelles, notamment SPF, DKIM et DMARC, car les attaquants envoyaient des e-mails à l’aide de services légitimes. Des pièces jointes PDF malveillantes ont été incluses, redirigeant les victimes vers des pages de destination de phishing.

Les victimes qui ouvraient les PDF étaient redirigées vers plusieurs CAPTCHA, dans le but de créer un faux sentiment de légitimité et d’exclure toute analyse automatisée. L’objectif ultime était de récolter les informations d’identification et les jetons Microsoft en temps réel, permettant ainsi aux attaquants de contourner l’authentification multifacteur (MFA).

Crédit d’image en vedette