Uma nova onda de ataques cibernéticos explorando o período de declaração de impostos nos Estados Unidos acendeu o alerta no setor de segurança digital. De acordo com informações divulgadas pela Microsoft, mais de 29 mil usuários em cerca de 10 mil organizações foram impactados por campanhas de phishing que utilizam como isca comunicações falsas relacionadas ao imposto de renda.

Os ataques se destacam não apenas pelo volume, mas também pelo nível de sofisticação. Os e-mails maliciosos simulam comunicações oficiais, incluindo notificações de restituição, formulários fiscais, lembretes de envio e até solicitações de profissionais contábeis. A estratégia explora o senso de urgência típico desse período, levando as vítimas a clicarem em links suspeitos, abrirem anexos maliciosos ou até escanearem QR codes.

Em muitos casos, os ataques são conduzidos por meio de plataformas conhecidas como Phishing-as-a-Service (PhaaS), que facilitam a criação e distribuição de páginas falsas altamente convincentes. Kits como Energy365 e SneakyLog (também chamado de Kratos) foram utilizados para capturar credenciais, incluindo senhas e códigos de autenticação multifator (2FA).

Um dos pontos mais críticos identificados é o uso de ferramentas legítimas de administração remota, conhecidas como RMM (Remote Monitoring and Management). Softwares como ConnectWise ScreenConnect, Datto e SimpleHelp, amplamente utilizados por equipes de TI, estão sendo explorados por hackers para obter acesso persistente aos sistemas comprometidos. Essa técnica dificulta a detecção, já que essas ferramentas são consideradas confiáveis em ambientes corporativos.

Entre os principais alvos estão profissionais que lidam diretamente com dados sensíveis, como contadores e equipes financeiras. No entanto, diversos setores também foram impactados, incluindo serviços financeiros, tecnologia, varejo e saúde. Aproximadamente 95% das vítimas estão localizadas nos Estados Unidos.

Um dos ataques mais relevantes ocorreu em fevereiro de 2026, quando milhares de usuários receberam e-mails falsos supostamente enviados pela Receita Federal americana (IRS). As mensagens alegavam irregularidades em declarações fiscais e orientavam as vítimas a baixar um suposto visualizador de documentos (“IRS Transcript Viewer”). Ao acessar o link, os usuários eram redirecionados para um site malicioso que imitava plataformas legítimas, utilizando inclusive mecanismos como Cloudflare para evitar a detecção por sistemas automatizados.

Após a infecção, os hackers conseguiam acesso remoto aos dispositivos, permitindo roubo de dados, captura de credenciais e execução de outras atividades maliciosas dentro do ambiente corporativo.

Além dessas campanhas, também foram identificadas outras táticas associadas, como o uso de páginas falsas de Google Meet e Zoom para distribuir malware, sites fraudulentos que simulam marcas conhecidas para roubo de dados financeiros e até abuso de serviços legítimos de segurança e redirecionamento de URLs para ocultar links maliciosos.

Outro vetor preocupante envolve o uso indevido de alertas do Microsoft Azure Monitor para envio de mensagens de phishing com aparência legítima, além de ataques que utilizam múltiplas camadas de redirecionamento para dificultar a análise e bloqueio das ameaças.

O cenário reforça uma tendência crescente: o uso de ferramentas legítimas e infraestrutura confiável para conduzir ataques, tornando as campanhas mais difíceis de detectar. Dados recentes indicam que o uso malicioso de ferramentas RMM cresceu 277% em relação ao ano anterior.

Diante desse cenário, especialistas recomendam a adoção de medidas como autenticação multifator obrigatória, políticas de acesso condicional, monitoramento contínuo de atividades suspeitas e bloqueio de domínios maliciosos. A conscientização dos usuários também segue sendo um fator crítico para reduzir o sucesso dessas campanhas.