Microsoft a déclaré avoir détecté et bloqué une campagne de phishing prolifique baptisée Storm-0900 qui utilisait des appâts sur le thème des fêtes pour amener les victimes à exécuter des scripts malveillants conduisant au logiciel malveillant d'accès à distance XWorm. Les rapports de sécurité ont souligné l'ampleur de la campagne et ses techniques d'ingénierie sociale en plusieurs étapes.

Les équipes de sécurité de Microsoft ont signalé la détection et le blocage généralisé d'une opération de phishing à grande échelle baptisée Storm-0900, qui utilisait des appâts saisonniers opportuns tels que de fausses contraventions de stationnement et des résultats d'analyses médicales fabriqués pour contraindre les cibles à exécuter des scripts malveillants. Les attaquants s'appuyaient sur une ingénierie sociale en plusieurs étapes, incluant de fausses pages de vérification, des CAPTCHA à curseur et des invites mises en scène qui convainquaient les utilisateurs d'activer les macros ou d'exécuter des charges utiles. La campagne visait à déployer le malware modulaire XWorm capable d'accès à distance, de collecte d'identifiants et de mouvement latéral, permettant un accès persistant et l'exfiltration de données. Microsoft et des médias de sécurité indépendants ont noté l'utilisation de techniques de distribution automatisées combinées à des relances humaines pour augmenter les taux de réussite, et ont souligné le volume élevé de la campagne durant la période de pointe. Les mesures d'atténuation recommandées incluent l'application de protections des points de terminaison, la désactivation de l'exécution des macros par défaut, l'application des correctifs disponibles, l'utilisation de l'authentification multifacteur et la formation des utilisateurs à vérifier les invites et pièces jointes inattendues. L'incident souligne l'évolution continue du phishing où la finesse de l'ingénierie sociale et l'automatisation convergent pour produire des escroqueries saisonnières à fort impact.