Em abril de 2023, especialistas da Microsoft Defender descobriram um ataque de phishing e comprometimento de e-mails comerciais em múltiplos níveis contra organizações bancárias e financeiras. O ataque teve origem num fornecedor confiável comprometido e demonstra a complexidade das ameaças de phishing e de e-mails comerciais em múltiplos níveis que exploram os relacionamentos de confiança entre fornecedores, parceiros e outras organizações com o objetivo de conseguirem levar a bom porto as suas fraudes.

Para lançar este ataque, os invasores usam um kit de phishing em estágios múltiplos desenvolvido, mantido e operado por um ator de ameaças rastreado pela Microsoft como Storm-1167 (DEV-1167). Esse sofisticado ataque de phishing em estágios múltiplos requer medidas de remediação além das típicas para comprometimento de identidade, como a redefinição de senhas. As organizações afetadas precisam revogar os cookies de sessão e desfazer as modificações na autenticação multifator (MFA) feitas pelo ator de ameaças. O incidente também destaca a importância da detecção proativa de ameaças para descobrir novas táticas, técnicas e procedimentos (TTPs) em campanhas anteriormente conhecidas, a fim de identificar e remediar esse tipo de ameaça.