Microsoft сообщил, что обнаружил и заблокировал активную фишинговую кампанию под названием Storm-0900, которая использовала праздничные приманки, чтобы обманом заставить жертв запускать вредоносные скрипты, приводившие к внедрению удалённого доступа вредоносного ПО XWorm. Отчёты по безопасности подчеркнули масштаб кампании и многоступенчатые приёмы социальной инженерии.

Команды по безопасности Microsoft сообщили о выявлении и массовой блокировке крупномасштабной фишинговой операции под обозначением Storm-0900, которая использовала своевременные праздничные приманки, такие как поддельные парковочные квитанции и сфабрикованные результаты медицинских тестов, чтобы вынудить цели выполнить вредоносные скрипты. Злоумышленники полагались на многоступенчатую социальную инженерию, включая поддельные страницы верификации, слайдер‑CAPTCHA и инсценированные подсказки, убеждавшие пользователей включить макросы или запустить полезную нагрузку. Кампания была направлена на развертывание модульного вредоносного ПО XWorm, способного к удалённому доступу, похищению учётных данных и латеральному перемещению, что обеспечивало устойчивый доступ и эксфильтрацию данных. Microsoft и независимые издания в сфере безопасности отметили использование автоматизированных методов распространения в сочетании с последующими действиями, выполняемыми людьми, для повышения показателей успеха, и подчеркнули высокий объём кампании в пиковый сезон. Рекомендуемые меры смягчения включают обеспечение защиты конечных точек, отключение выполнения макросов по умолчанию, применение доступных исправлений, использование многофакторной аутентификации и обучение пользователей проверять неожиданные подсказки и вложения. Инцидент подчёркивает продолжающуюся эволюцию фишинга, где мастерство социальной инженерии и автоматизация сходятся, создавая высокоэффективные праздничные мошенничества.