Cenário de ameaças por e-mail: tendências e insights do primeiro trimestre de 2026

Durante o primeiro trimestre de 2026 (janeiro-março), a Microsoft Threat Intelligence detectou aproximadamente 8,3 bilhões de ameaças de phishing baseadas em e-mail, com volumes mensais caindo ligeiramente de 2,9 bilhões em janeiro para 2,6 bilhões em março. Ao final do trimestre, o phishing por QR code emergiu como o vetor de ataque que mais cresce, mais que dobrando ao longo do período, enquanto o phishing bloqueado por CAPTCHA  evoluiu rapidamente entre os tipos de payload. No geral, 78% das ameaças de e-mail foram baseadas em links, enquanto cargas maliciosas responderam por 19% dos ataques em janeiro — impulsionados por grandes campanhas HTML e ZIP — antes de se estabelecerem em 13% tanto em fevereiro quanto em março. O phishing de credenciais permaneceu como o principal objetivo por trás de cargas maliciosas durante todo o trimestre. Essa mudança para a entrega baseada em links, combinada com as tendências de payloads, sugere que os atores de ameaça passaram a preferir cada vez mais infraestrutura de phishing de credenciais hospedada em vez de payloads renderizados localmente à medida que o trimestre avançava.

Essas tendências refletem como os atores de ameaça continuam a iterar tanto em escala quanto em técnicas de entrega para melhorar a eficácia. Ao mesmo tempo, esforços de interrupção podem impactar significativamente essa atividade. Após a ação liderada pela Digital Crime Unit da Microsoft contra a  plataforma de phishing como serviço Tycoon2FA (PhaaS) no início de março, o volume de e-mails associado caiu 15% no restante do mês, junto com uma redução significativa no acesso a páginas de phishing ativas, limitando a eficácia imediata da plataforma. Embora o Tycoon2FA tenha se adaptado alterando  os provedores de hospedagem e padrões de registro de domínios, essas mudanças refletem uma recuperação parcial em vez de uma restauração total das capacidades anteriores. Paralelamente a essas mudanças, a atividade de comprometimento de e-mails empresariais (BEC) permaneceu predominante, totalizando aproximadamente 10,7 milhões de ataques no trimestre, impulsionados principalmente por mensagens genéricas e de baixo esforço. Ao mesmo tempo, a Microsoft Defender Research observou indícios iniciais de técnicas emergentes, como o phishing de código de dispositivo — às vezes possibilitado por ofertas como o EvilTokens — que, embora ainda não estejam na escala das tendências discutidas abaixo, refletem inovação contínua em métodos de roubo de credenciais.

Este blog oferece uma visão da atividade de ameaças por e-mail durante o primeiro trimestre de 2026, destacando tendências-chave em técnicas de phishing, entrega de cargas úteis e comportamento de agentes de ameaça observados pela Microsoft Threat Intelligence. Examinamos mudanças no phishing por QR code, táticas de evasão por CAPTCHA, cargas maliciosas e atividade BEC, analisamos como esforços de interrupção e mudanças na infraestrutura influenciaram as operações dos agentes de ameaça, e fornecemos recomendações e  detecções com Microsoft Defender para ajudar a mitigar essas ameaças. Ao reunir essas tendências, este blog pode ajudar os defensores a entender como os ataques baseados em e-mail estão evoluindo e onde focar estratégias de detecção, mitigação e proteção ao usuário.

Impacto da disrupção da Tycoon2FA

Desde seu surgimento em agosto de 2023, o Tycoon2FA rapidamente se tornou uma das plataformas PhaaS mais difundidas, utilizando técnicas do tipo “adversário no meio” (AiTM) para tentar derrotar defesas de autenticação multifator (MFA) não resistentes a phishing. O grupo por trás da plataforma PhaaS (rastreado pela Microsoft Threat Intelligence como Storm-1747) aluga infraestrutura maliciosa e vende kits de phishing que se passam por várias páginas de login de aplicativos empresariais e incorporam táticas de evasão, como páginas CAPTCHA falsas.

O trimestre começou com o Tycoon2FA em um período de atividade reduzida. Os volumes de janeiro representaram uma queda de 54% em relação a dezembro de 2025, marcando o segundo mês consecutivo de quedas acentuadas. Embora os efeitos sazonais pós-feriados possam ter contribuído para essa diminuição de volume, parte dessa redução também pode ter sido resultado da interrupção da Digital Crimes Unit da Microsoft no RedVDS, um serviço usado por muitos clientes do Tycoon2FA para distribuir campanhas de e-mail maliciosas.

Após um disparo de 44% em fevereiro, os ataques de phishing que apontavam para o Tycoon2FA caíram 15% em março, impulsionados principalmente pelos efeitos de uma operação coordenada de interrupção. No início de março de 2026, a Digital Crimes Unit da Microsoft, em coordenação com a Europol e parceiros do setor, tomou medidas para  interromper a infraestrutura e as operações da Tycoon2FA, prejudicando significativamente as capacidades de hospedagem da plataforma. Embora as mensagens vinculadas ao Tycoon2FA continuaram circulando após a interrupção, quase um terço do volume total de março foi concentrado em um período de três dias no início do mês; os volumes diários no restante de março foram notavelmente menores do que as médias históricas, e a capacidade dos alvos de acessar páginas de phishing ativas foi substancialmente reduzida.

A composição da infraestrutura da Tycoon2FA evoluiu várias vezes durante os três primeiros meses de 2026. Em janeiro, os domínios Tycoon2FA começaram a migrar para domínios genéricos de topo (TLDs, em inglês) mais recentes, como  .DIGITAL, .BUSINESS, .CONTRACTORS, .CEO, e .COMPANY, afastando-se dos TLDs comumente usados anteriormente ou domínios de segundo nível como .SA, .COM, .RU e .ES. Essa tendência se consolidou ainda mais em fevereiro. Após a interrupção de março, entretanto, a Microsoft Threat Intelligence observou um aumento notável nos domínios Tycoon2FA com registros .RU, com mais de 41% de todos os domínios Tycoon2FA usando um TLD .RU desde a última semana de março.

Além disso, no final de março, vimos o Tycoon2FA se afastar da Cloudflare como serviço de hospedagem e agora hospeda a maioria de seus domínios em diversas plataformas alternativas, sugerindo que o grupo está tentando encontrar serviços substitutos que ofereçam proteções anti-análise comparáveis.

Ataques de phishing por QR Codes

Nos últimos anos, os QR Codes rapidamente se tornaram uma ferramenta preferida entre os atores de ameaça de phishing que buscam burlar as defesas tradicionais de e-mail. Ao incorporar URLs maliciosas em QR Codes baseados em imagens no corpo de um e-mail ou no conteúdo de um anexo, os agentes de ameaça tentam explorar as limitações dos motores de escaneamento baseados em texto e redirecionar as vítimas para sites de phishing em dispositivos móveis não gerenciados.

A mudança mais significativa no primeiro trimestre de 2026 foi a rápida escalada do phishing por QR code, com volumes de ataques aumentando de 7,6 milhões em janeiro para 18,7 milhões em março, um aumento de 146% em relação ao trimestre. Após uma queda inicial de 35% em janeiro (continuando uma tendência de queda no final de 2025), os volumes inverteram drasticamente, crescendo 59% em fevereiro e mais 55% em março. Ao final do trimestre, o phishing por QR code atingiu seu maior volume mensal em pelo menos um ano.

Anexos em PDF foram o método dominante de entrega durante todo o trimestre, crescendo de 65% dos ataques por QR code em janeiro para 70% em março. Embora o volume total de payloads DOC/DOCX contendo QR codes maliciosos aumentasse constantemente a cada mês, sua participação nas cargas totais de entrega diminuiu de 31% em janeiro para 24% em março. Um desenvolvimento notável no final do trimestre foi o surgimento de QR codes incorporados diretamente nos corpos de e-mail, que dispararam 336% em março. Embora ainda represente uma pequena parcela do volume total (5%), essa abordagem elimina completamente a necessidade de um anexo e destaca uma mudança nos métodos de entrega dos agentes de ameaça que os defensores devem continuar monitorando.

Táticas de CAPTCHA

Atores de ameaça usam páginas CAPTCHA para atrasar a detecção e aumentar a interação do usuário. Essas páginas funcionam como um isca visual, dando a aparência de uma verificação de segurança legítima enquanto ocultam uma transição para conteúdo malicioso. Ao forçar os usuários a interagirem com o CAPTCHA antes de acessar a carga útil, os agentes de ameaça reduzem a probabilidade de ferramentas de varredura automatizada identificarem a ameaça e aumentam as chances de coleta de credenciais bem-sucedidas ou entrega de malware. Além disso, CAPTCHAs falsos são usados em Ataques ClickFix para enganar os usuários a copiar e executar comandos maliciosos sob o pretexto de verificação humana, permitindo que malwares contornem os controles convencionais de segurança.

Após uma queda tanto em janeiro (-45%) quanto em fevereiro (-8%), os volumes de phishing com CAPTCHA explodiram em março, mais que dobrando (+125%) para 11,9 milhões de ataques, o maior volume observado no último ano.

O aspecto mais notável das tendências do CAPTCHA do primeiro trimestre foi a rápida rotação dos métodos de entrega, já que os atores de ameaça pareciam experimentar ativamente quais formatos de payload evitam de forma mais eficaz das defesas de e-mail:

• Anexos HTML começaram o ano como o método mais comum para entregar phishing com CAPTCHA (37% em janeiro), mas caíram 34% em fevereiro, atingindo seu menor volume mensal desde agosto de 2025. Embora o volume tenha mais que dobrado em março, atingindo um recorde mensal anual, os arquivos HTML ainda eram apenas o segundo método de entrega mais comum para fechar o trimestre.

• Arquivos SVG, que haviam registrado volumes de queda em meses consecutivos, cresceram 49% em fevereiro, ao mesmo tempo em que quase todos os outros tipos de carga útil de entrega diminuíram. Por isso, foi o método de entrega mais comum do mês, o que não acontecia desde novembro de 2025. Esse pico de um mês se reverteu em março, no entanto, e o número de arquivos SVG entregando phish com CAPTCHA caiu 57%, representando apenas 7% das cargas úteis de entrega.
• Arquivos PDF tiveram um aumento meteórico em volume durante o primeiro trimestre do ano. Após registrar quedas constantes mês a mês desde julho de 2025 e atingir um ponto mínimo anual em janeiro de 2026, o número de anexos PDF que levaram a sites de phishing com CAPTCHA bloqueado mais que quadruplicou em março (+356%). Além de retomar seu lugar como o método de entrega mais comum desses ataques desde julho passado, também superou sua máxima anual em mais de 37%.
• Os arquivos DOC/DOCX, que não representavam mais de 9% dos payloads de phishing com CAPTCHA nos nove meses anteriores, aumentaram quase cinco vezes (+373%) em março, chegando a representar 15% dos payloads.
• As URLs embutidas em e-mails, que já haviam entregado mais da metade do phishing com CAPTCHA no final de agosto de 2025, atingiram uma baixa de oito meses após caírem 85% entre dezembro e fevereiro. Embora seu volume tenha quase dobrado em março, permaneceram bem abaixo dos níveis do final de 2025.

Outra mudança notável nos ataques de phishing com CAPTCHA foi a erosão do impacto do Tycoon2FA no cenário. No final de 2025, mais de três quartos dos sites de phishing com bloqueio CAPTCHA estavam hospedados na infraestrutura Tycoon2FA. Essa participação diminuiu significativamente ao longo dos primeiros três meses de 2026, caindo para apenas 41% em março. Essa ampliação dos sites de phishing com bloqueio CAPTCHA usados por um número crescente de agentes e kits de phishing, combinada com o aumento geral do volume, indica que essa técnica está se tornando um componente mais enraizado do manual de phishing, em vez de uma especialidade de um pequeno número de ferramentas.

Campanha de três dias entrega conteúdo de phishing com CAPTCHA bloqueado usando anexos SVG maliciosos

Entre 23 e 25 de fevereiro de 2026, uma grande e sustentada campanha enviou mais de 1,2 milhão de mensagens para usuários de mais de 53 mil organizações em 23 países. As mensagens da campanha continham vários temas diferentes, incluindo uma importante atualização do 401K, um aviso de retenção de crédito, uma pergunta sobre um pagamento recebido, um pedido de pagamento por uma fatura em atraso e uma notificação de mensagem de voz.

Muitas das mensagens continham um aviso falso de confidencialidade para aumentar a credibilidade das mensagens e fornecer uma desculpa proativa sobre o porquê o destinatário pode ter recebido por engano um e-mail que pode não ser aplicável a ele.

Anexado a cada mensagem havia um arquivo SVG nomeado para corresponder adequadamente ao tema do e-mail. Todos os nomes dos arquivos incluíam uma versão codificada em Base64 do endereço de e-mail do destinatário. Exemplos de nomes de arquivos usados na campanha incluem os seguintes:

• _statements_inv_.svg
• 401K_copy___241.svg
• Check_2408_Payment_Copy___241.svg
• INV#_1709612175_.svg
• Listen_().svg
• PLAY_AUDIO_MESSAGE____241.svg

Se um arquivo SVG anexado fosse aberto, o navegador do usuário abriria localmente e buscaria conteúdo de um dos três nomes de host a seguir:

• bouleversement.niovapahrm[.]com
• Hematogênese.Hvishay[.]com
• ubiquitarianism.drilto[.]com

Inicialmente, o usuário recebia um CAPTCHA de “verificação de segurança”. Uma vez que o CAPTCHA fosse concluído com sucesso, o usuário recebia uma página de login falsa usada para comprometer suas credenciais de conta.

Cargas maliciosas

O phishing por credenciais reforçou sua posição sobre o cenário de  payloads maliciosos durante o primeiro trimestre, crescendo de 89% de todos os ataques baseados em  payloads em janeiro para 95% em fevereiro, antes de se estabilizar em 94% em março. Esses payloads de phishing de credenciais vinculavam os usuários a páginas de phishing ou carregavam telas de login falsificadas localmente no dispositivo do usuário. A entrega tradicional de malware continuou sua trajetória de  declínio , representando apenas de 5 a 6% dos payloads ao final do trimestre.

A tendência mais marcante observada nos dados coletados foi a volatilidade entre os tipos de arquivo, impulsionada por grandes campanhas que criaram oscilações dramáticas de uma semana para outra:

• Anexos HTML: começaram no primeiro trimestre como o principal tipo de arquivo (37% dos payloads em janeiro), caíram para um mínimo anual em fevereiro (-57%), e quase triplicaram em março (+175%). Essa volatilidade foi em grande parte impulsionada por  campanhas, com atividade concentrada na primeira metade de janeiro e na terceira semana de março.
• PDFs maliciosos: seguiram uma trajetória constante de alta, aumentando 38% em fevereiro e mais 50% em março, atingindo seu maior volume mensal em mais de um ano. Em março, os PDFs representavam 29% dos payloads, um aumento em relação aos 19% de janeiro.
• Anexos ZIP/GZIP: foram voláteis, quase dobrando em janeiro (+94%), caindo 38% em fevereiro e depois subindo 79% em março. Agentes de ameaça comumente usam arquivos ZIP para burlar as proteções do Mark of the Web (MOTW).
• Arquivos SVG: surgiram brevemente em fevereiro como um método de entrega notável (com aumento de volume de 50%) antes de caírem 32% em março, espelhando o padrão observado no phishing com CAPTCHA.

Campanha de phishing em  HTML de larga escala hospeda conteúdo em múltiplas infraestruturas PhaaS

Em 17 de março de 2026, a Microsoft Threat Intelligence observou uma campanha massiva de phishing que provocou um aumento significativo em anexos HTML maliciosos durante o mês. A campanha envolveu mais de 1,5 milhão de mensagens maliciosas confirmadas enviadas para mais de 179 mil organizações em 43 países, representando aproximadamente 7% de todos os anexos HTML maliciosos observados em março.

Todas as mensagens dessa campanha provavelmente foram enviadas usando a mesma ferramenta ou serviço, que apresentava várias características distintas e altamente consistentes. Mais notavelmente, os endereços dos remetentes em toda a campanha apresentavam nomes de usuário excessivamente longos e cheios de palavras-chave, que incorporavam URLs, identificadores de rastreamento e referências de serviço. Esses nomes de usuário foram criados para se assemelhar a remetentes legítimos de notificações transacionais, de faturamento ou relacionados a documentos. Exemplos de nomes de usuário observados por remetentes incluem:

• eReceipt_Payment_Alert_Noreply-/m939k6d7.r.us-west-2.awstrack.me/L0/%2F%2Fspectrumbusiness.net%2Fbilling%2F/2/010101989f2c1f29-ab5789bd-1426-4800-ae7d-877ea7f61d24-000000/LHnBIXX0VmCLVoXwNWtt23hGCdc=439/us02web.zoom.nl/j/81163775943?pwd=bLoo4JaWavsiTAuLWNoRsmbmALwjLB.1-qq8m2tzd
• Center-=AAP1eU7NKykAABXNznVa8w___listenerId=AAP1eU7NKykAABXNznVa8w___aw_0_device.nome_jogador=Chrome___aw_0_ivt.resultado=unknown___cbs=9901711___aw_0_azn.zposição=%5B%22undefined%22%5D___us_privacy=___aw_0_app.name=Second+Screen___externalClickUrl=otdk-takaki-h
• DocExchange_Noreply-m939k6d7.r.us_west_2.awstrack.me/L0/%2F%2Fspectrumbusiness.net%2Fbilling%2F/2/010101989f2c1f29ab5789bd14264800ae7d877ea7f61d24000000/LHnBIXX0VmCLVoXwNWtt23hGCdc=439/us02web.zoom.nl/j/81163775943?pwd=bLoo4JaWavsiTAuLWNoRsmbmALwjLB.1-angie

Os e-mails em si continham pouco ou nenhum conteúdo no corpo da mensagem. Embora as linhas de assunto variassem, eles consistentemente se passavam por notificações rotineiras de negócios e fluxos de trabalho, incluindo alertas de pagamento e remessa (por exemplo, ACH, EFT, transferência bancária eletrônica), extratos ou faturas de contas a receber e solicitações de assinatura ou entrega de documentos. Esses assuntos dependiam de urgência, linguagem de aprovação e enquadramento transacional para incentivar os destinatários a revisar, assinar ou acessar um documento anexado.

Cada mensagem incluía um anexo HTML com um nome de arquivo alinhado ao tema do e-mail. Quando aberto, o arquivo HTML era iniciado localmente no dispositivo do destinatário e imediatamente redirecionava o usuário para uma página externa inicial. Essa página realizava uma triagem básica e então redirecionava o usuário para uma página de destino secundária que hospedava o conteúdo de phishing. Na página  de destino final, os usuários receberam um desafio CAPTCHA antes de serem direcionados para uma página de login fraudulenta, projetada para coletar credenciais de conta.

Curiosamente, embora as mensagens nesta campanha compartilhassem ferramentas, estrutura e características comuns de entrega, a infraestrutura que hospedava a carga final de phishing estava vinculada a múltiplos provedores PhaaS diferentes. A maioria dos endpoints de phishing observados estava associada ao Tycoon2FA, enquanto atividades adicionais estavam vinculadas à infraestrutura do Kratos (anteriormente Sneaky2FA) e do EvilTokens.

Comprometimento de e-mails empresariais

A Microsoft define comprometimento de e-mail empresarial (BEC) como um ataque baseado em texto direcionado a usuários corporativos que se passa por uma entidade confiável com o objetivo de persuadir o destinatário a iniciar uma transação financeira fraudulenta ou enviar documentos sensíveis ao agente ameaçador. Esses ataques oscilaram ao longo do primeiro trimestre, totalizando aproximadamente 10,7 milhões de crises: aumentando 24% em janeiro, caindo 8% em fevereiro e depois aumentando 26% em março.

A composição dos ataques BEC permaneceu consistente durante todo o primeiro trimestre. Mensagens genéricas de divulgação (como “Você está na sua mesa?”) representavam de 82 a 84% dos e-mails iniciais de contato a cada mês, enquanto solicitações explícitas por transações ou documentos financeiros específicos representavam apenas entre 9 e10%. Esse padrão ressalta que os operadores BEC preferem esmagadoramente estabelecer uma relação de conversa antes de fazer pedidos fraudulentos, em vez de começar com pedidos financeiros diretos.

Dentro do subconjunto menor de solicitações financeiras explícitas, duas subcategorias apresentaram avanços notáveis. Os pedidos de atualização de folha de pagamento cresceram 15% em fevereiro, atingindo seu maior volume em oito meses, potencialmente refletindo a engenharia social relacionada à temporada de impostos. Os pedidos de cartões-presente caíram 37% em fevereiro, atingindo o nível mais baixo desde julho, antes de se recuperarem fortemente em março (+108%), embora ainda representassem menos de 3% do total de mensagens BEC. Essas oscilações sugerem que os operadores BEC ajustam seus pretextos financeiros específicos sazonalmente, mantendo uma abordagem geral consistente.

Defesa contra ameaças por e-mail

A Microsoft recomenda as seguintes medidas de mitigação para reduzir o impacto dessa ameaça.

• Revise as configurações recomendadas para o Exchange Online Protection e o Microsoft Defender para Office 365 para garantir que sua organização tenha estabelecido defesas essenciais e saiba como monitorar e responder a atividades ameaçadas.
• Invista em treinamento de conscientização do usuário e simulações de phishing. O treinamento de simulação de ataque no Microsoft Defender para Office 365, que também inclui simulação de mensagens de phishing no Microsoft Teams, é uma abordagem para rodar cenários de ataque realistas na sua organização.
• Ative a limpeza automática de zero horas (ZAP) no Defender para Office 365 para colocar em quarentena os e-mails enviados em resposta a informações de ameaças recém-adquiridas e neutralizar retroativamente mensagens maliciosas de phishing, spam ou malware que já tenham sido entregues em caixas de correio.
• Os responsáveis pela resposta a incidentes também poderiam verificar e eliminar manualmente e-mails indesejados contendo URLs e/ou campos de assunto que sejam semelhantes, mas não idênticos, aos de mensagens mal conhecidas. Investigue e-mails maliciosos entregues no Microsoft 365 e use o Explorador de Ameaças para encontrar e excluir e-mails de phishing.
• Ative os links seguros e anexos seguros no Microsoft Defender para Office 365.
• Ative a proteção de rede no Microsoft Defender para Endpoint.
• Incentive os usuários a usarem o Microsoft Edge e outros navegadores que suportem o Microsoft Defender SmartScreen, que identifica e bloqueia sites maliciosos, incluindo sites de phishing, sites fraudulentos e sites que hospedam malware.
• Habilite métodos de autenticação sem senha (por exemplo, Windows Hello, chaves FIDO ou Microsoft Authenticator) para contas que oferecem suporte a essa opção. Para contas que ainda exigem senhas, use aplicativos de autenticação como o Microsoft Authenticator para MFA. Consulte este artigo para os diferentes métodos e recursos de autenticação.
• Configure a interrupção automática de ataques no Microsoft Defender XDR. A interrupção automática de ataques foi projetada para conter ataques em andamento, limitar o impacto sobre os ativos da organização e fornecer mais tempo para que as equipes de segurança remediem totalmente o ataque.

Detecções do Microsoft Defender

Clientes do Microsoft Defender podem consultar a lista de detecções aplicáveis abaixo. O Microsoft Defender coordena detecção, prevenção, investigação e resposta entre endpoints, identidades, e-mails e aplicativos para fornecer proteção integrada contra-ataques como a ameaça discutida neste blog.

Microsoft Defender para Endpoint

O alerta a seguir pode indicar atividade de ameaça associada a esta ameaça. O alerta, no entanto, pode ser acionado por atividades de ameaça não relacionadas.

• Atividade suspeita provavelmente indicativa de conexão com um site de phishing do tipo “adversário no meio” (AiTM)

Microsoft Defender para Office 365

Os alertas a seguir podem indicar atividade de ameaça associada a esta ameaça. No entanto, esses alertas podem ser acionados por atividades de ameaça não relacionadas.

• Foi detectado um clique em ULR potencialmente malicioso.
• Um usuário clicou em uma URL potencialmente maliciosa.
• Padrões suspeitos de envio de e-mails foram detectados.
• Mensagens de e-mail contendo URL maliciosa são removidas após a entrega.
• As mensagens de e-mail são removidas após a entrega.
• E-mail reportado pelo usuário como malware ou phishing.

Microsoft Security Copilot

O Microsoft Security Copilot está embutido ao Microsoft Defender e fornece às equipes de segurança capacidades baseadas em IA para resumir incidentes e identidades, analisar arquivos e scripts, usar respostas guiadas e gerar resumos de dispositivos, consultas de busca e relatórios de incidentes.

Os clientes também podem implantar agentes de IA, incluindo os seguintes agentes Microsoft Security Copilot, para executar tarefas de segurança de forma eficiente:

O Security Copilot também está disponível como uma experiência independente, onde os clientes podem realizar tarefas específicas relacionadas à segurança, como investigação de incidentes, análise de usuários e avaliação de impacto de vulnerabilidades. Além disso, o Security Copilot oferece cenários para desenvolvedores que permitem aos clientes construírem, testarem, publicarem e integrarem agentes e plugins de IA para atender a necessidades únicas de segurança.

Relatórios de inteligência de ameaças

Clientes do Microsoft Defender XDR podem usar os seguintes relatórios de Análise de Ameaças no portal Defender (requer licença para pelo menos um produto Defender XDR) para obter as informações mais atualizadas sobre o agente da ameaça, atividades maliciosas e técnicas discutidas neste blog. Esses relatórios fornecem inteligência, informações de proteção e ações recomendadas para prevenir, mitigar ou responder a ameaças associadas encontradas nos ambientes dos clientes.

Análise de ameaças do Microsoft Defender XDR

Os clientes do Microsoft Security Copilot também podem usar a integração Microsoft Security Copilot com o Microsoft Defender Threat Intelligence, seja no portal independente Security Copilot ou na experiência integrada ao portal Microsoft Defender, para obter mais informações sobre esse agente ameaçador.

Saiba mais

Para conferir as pesquisas de segurança mais recentes da comunidade da  Microsoft Threat Intelligence, acesse o Blog de Inteligência de Ameaças da Microsoft.

Para receber notificações sobre novas publicações e participar de discussões nas redes sociais, siga-nos no LinkedIn, X (antigo Twitter) e Bluesky.

Para ouvir histórias e percepções da comunidade  Microsoft Threat Intelligence sobre o cenário de ameaças em constante evolução, ouça o podcast Microsoft Threat Intelligence.