Microsoft emite alerta: golpe do imposto de renda já atingiu 29 mil usuários e se apoia em ferramentas legítimas para invadir sistemas
Uma campanha criminosa que aproveita o período de declaração de impostos nos Estados Unidos vem chamando a atenção de especialistas em cibersegurança. Informações divulgadas pela Microsoft mostram que mais de 29 mil usuários, espalhados por cerca de 10 mil organizações, foram impactados por uma onda de ataques de phishing que explora temas ligados ao imposto de renda, como restituição, pendências fiscais e prazos de envio.
O que torna essa operação especialmente perigosa não é apenas o alcance, mas o refinamento das técnicas utilizadas. Os criminosos digitais têm enviado e-mails que imitam com alto grau de fidelidade comunicações oficiais, simulando notificações de devolução de imposto, formulários obrigatórios, avisos de inconsistência, lembretes de prazos e até mensagens supostamente enviadas por profissionais de contabilidade. A narrativa se apoia em um senso de urgência típico desse período, pressionando a vítima a agir rapidamente – clicando em links, abrindo anexos ou escaneando QR Codes sem o devido cuidado.
Grande parte desses ataques é viabilizada por plataformas conhecidas como Phishing-as-a-Service (PhaaS), um modelo em que grupos especializados fornecem kits prontos para que outros criminosos montem campanhas de phishing sofisticadas, mesmo sem conhecimento técnico avançado. Entre as ferramentas citadas estão kits como Energy365 e SneakyLog (também conhecido como Kratos), projetados para capturar credenciais de acesso, incluindo senhas e até códigos de autenticação multifator (2FA), algo que tradicionalmente é visto como uma camada adicional de segurança.
Um dos aspectos mais preocupantes identificados pela Microsoft é o uso de softwares legítimos de administração remota – as chamadas ferramentas de Remote Monitoring and Management (RMM). Programas como ConnectWise ScreenConnect, Datto e SimpleHelp, amplamente empregados por equipes de TI para suporte e manutenção de infraestrutura, estão sendo explorados de forma maliciosa. Depois que a vítima instala o que acredita ser um aplicativo legítimo, o invasor passa a ter acesso remoto persistente ao dispositivo, muitas vezes sem despertar suspeitas, justamente porque essas ferramentas são consideradas confiáveis em ambientes corporativos.
Os alvos prioritários dessa campanha incluem profissionais e áreas que tratam diretamente de informações sensíveis, em especial contadores, escritórios de contabilidade e equipes financeiras. No entanto, o impacto foi percebido em uma gama ampla de segmentos, como serviços financeiros, tecnologia, varejo e saúde. A grande maioria das vítimas – aproximadamente 95% – está localizada nos Estados Unidos, o que mostra uma atuação alinhada ao calendário fiscal do país.
Entre os episódios mais significativos, a Microsoft destacou uma ofensiva registrada em fevereiro de 2026. Nessa ação, milhares de usuários receberam mensagens que pareciam ter sido enviadas pelo equivalente à Receita Federal americana (IRS). Os e-mails informavam supostas irregularidades nas declarações fiscais e orientavam o destinatário a baixar um programa chamado “IRS Transcript Viewer” para visualizar detalhes do problema. Ao clicar no link, em vez de acessar uma página oficial, a vítima era direcionada para um site malicioso muito parecido com portais legítimos, protegido inclusive por serviços de infraestrutura confiável para dificultar sua detecção por sistemas automatizados de segurança.
Após a instalação do falso visualizador, os criminosos conseguiam implantar as ferramentas de acesso remoto e outros componentes maliciosos. Com isso, passavam a controlar o equipamento da vítima, podendo roubar dados sigilosos, capturar credenciais de sistemas corporativos, movimentar lateralmente dentro da rede da organização e executar novas etapas do ataque sem chamar atenção.
Além dessa campanha principal vinculada ao imposto de renda, foram identificadas outras estratégias complementares. Entre elas, páginas falsas que simulam convites ou salas de reuniões em plataformas de videoconferência, como Google Meet e Zoom, servindo de isca para a instalação de malware. Também foram observados sites fraudulentos que imitam marcas reconhecidas, especialmente do setor financeiro e varejista, com o objetivo de roubar dados de cartão de crédito, informações bancárias e credenciais de acesso a serviços online.
Outro recurso recorrente é o abuso de serviços legítimos de segurança e de redirecionamento de URLs. Os invasores utilizam encurtadores de links, provedores de redirecionamento e recursos de proteção de navegação para mascarar o destino real dos endereços compartilhados por e-mail, SMS ou aplicativos de mensagem. Assim, a vítima visualiza um link aparentemente confiável, enquanto, em segundo plano, múltiplas camadas de redirecionamento a conduzem até a página maliciosa, dificultando a análise por ferramentas de segurança.
Um vetor adicional que gera preocupação é a exploração indevida de alertas do Microsoft Azure Monitor. Os atacantes conseguem enviar notificações com aparência autêntica, semelhante às mensagens técnicas usadas em ambientes corporativos. Essas notificações podem sugerir a necessidade de “revisar configurações”, “aplicar correções” ou “regularizar acessos”, induzindo o usuário a clicar em links infectados ou inserir credenciais em páginas falsas.
O panorama aponta para uma tendência cada vez mais clara no cibercrime: em vez de depender apenas de malware próprio, os atacantes têm se apoiado em infraestrutura e serviços legítimos – de softwares de acesso remoto a ferramentas de monitoramento corporativo – para viabilizar e sustentar suas campanhas. De acordo com dados recentes, o uso malicioso de ferramentas RMM cresceu 277% em comparação com o ano anterior, um indicador direto de que essa técnica vem se consolidando como preferência entre grupos criminosos.
Diante desse avanço, as recomendações dos especialistas ganham caráter urgente. Empresas e profissionais devem adotar medidas robustas de proteção, incluindo autenticação multifator obrigatória, políticas rígidas de acesso condicional (limitando acessos por localização, dispositivo e perfil de risco), monitoramento contínuo de atividades suspeitas e bloqueio sistemático de domínios e endereços IP associados a campanhas maliciosas. A configuração de alertas para o uso de ferramentas RMM fora de horários habituais ou em máquinas onde não deveriam estar presentes pode ser decisiva para detectar invasões em estágio inicial.
A conscientização do usuário continua sendo um dos pilares da defesa. Funcionários que lidam com finanças, contabilidade e dados sensíveis devem receber treinamento recorrente sobre como identificar sinais de phishing, como verificar o remetente real de um e-mail, desconfiar de anexos inesperados e checar comunicações envolvendo temas fiscais diretamente nos portais oficiais, em vez de clicar em links recebidos. Boas práticas incluem digitar manualmente o endereço de órgãos governamentais no navegador e jamais instalar aplicativos sugeridos por e-mail sem validação prévia com a equipe de TI.
Para o usuário comum, algumas atitudes simples podem reduzir drasticamente o risco de cair nesse tipo de golpe: desconfiar de mensagens que usem pressão psicológica e urgência, evitar o uso do mesmo e-mail e senha em múltiplos serviços, manter o sistema operacional e os aplicativos sempre atualizados e utilizar soluções de segurança confiáveis com proteção em tempo real. Ativar notificações de login em contas importantes (como e-mail principal e conta bancária) ajuda a identificar acessos suspeitos rapidamente.
Empresas que trabalham com grande volume de dados fiscais – como escritórios de contabilidade, consultorias tributárias e departamentos financeiros – precisam ir além do básico. Segmentar redes internas, restringir acessos a sistemas sensíveis apenas a máquinas e usuários estritamente necessários, e adotar o princípio de privilégio mínimo, em que cada conta só tem exatamente as permissões de que precisa para executar suas funções, são estratégias que limitam o estrago em caso de comprometimento inicial.
Outra camada importante está na revisão de ferramentas legítimas utilizadas no ambiente corporativo. Soluções de acesso remoto e RMM devem ser inventariadas, configuradas com autenticação forte e monitoradas. É recomendável bloquear a instalação de qualquer software desse tipo em estações de trabalho sem aprovação formal do time de TI. Auditorias periódicas em logs de acesso remoto ajudam a identificar sessões não autorizadas ou padrões anômalos de uso.
Do ponto de vista estratégico, o período de imposto de renda se consolidou como uma janela crítica para ataques digitais, tanto nos Estados Unidos quanto em outros países com calendários fiscais bem definidos. Criminosos planejam campanhas com meses de antecedência, preparando templates de e-mails, copiando visual de portais oficiais, registrando domínios parecidos com os de órgãos governamentais e testando diferentes abordagens para aumentar a taxa de sucesso. Por isso, organizações que tratam de dados tributários devem reforçar suas defesas justamente nas semanas que antecedem e acompanham os prazos de declaração.
A combinação de engenharia social avançada, ferramentas legítimas utilizadas de forma maliciosa e exploração de momentos de alta pressão sobre o contribuinte cria um cenário desafiador para a segurança digital. A resposta passa por uma soma de tecnologia, processos e educação: soluções de segurança bem configuradas, políticas claras de uso de e-mail e internet no ambiente corporativo, e uma cultura em que todo colaborador entenda que, ao lidar com mensagens sobre impostos e finanças, a dúvida e a verificação cuidadosa são sempre melhores do que o clique impulsivo.
Em síntese, o alerta da Microsoft não se restringe ao contexto americano ou ao período atual de declaração de imposto de renda. Ele expõe um modelo de ataque que tende a ser replicado em outros países e em diferentes sazonalidades, como campanhas de benefícios governamentais, restituições, programas de incentivo e recolhimentos obrigatórios. Estar preparado hoje significa reduzir o impacto dos golpes que, inevitavelmente, serão adaptados a novos contextos amanhã.