Missbrauch der SharePoint-Dateifreigabe durch Umgehung des CAPTCHA
17. Oktober 2025
Von dem Mimecast Threat Research Team
- Angreifer nutzen SharePoint-Dateifreigabedienste zum Abgreifen von Anmeldedaten aus
- Mehrstufige Angriffskette unter Nutzung kompromittierter Konten und ausgefeilter Umgehungstechniken
- Bei diesen Kampagnen ist eine Interaktion per Strg+Klick erforderlich, um automatisierte Sicherheitsanalysen zu umgehen
- Gefälschte Cloudflare-CAPTCHA-Überprüfung im Vorfeld des Diebstahls von Microsoft 365-Anmeldedaten
- Endgültige Nutzlast, die auf der Infrastruktur von workers.dev gehostet wird
Kampagnenübersicht
Das Mimecast Threat Research-Team hat eine aktive Kampagne zum Sammeln von Anmeldedaten identifiziert, bei der die Dateifreigabefunktion von Microsoft SharePoint missbraucht wird, um Phishing-Angriffe durchzuführen. Der Angriff beginnt mit E-Mails, die von kompromittierten Microsoft 365-Konten versendet werden, wodurch die bösartigen Nachrichten auf Anhieb glaubwürdig wirken. Die Empfänger erhalten Benachrichtigungen über die Freigabe von SharePoint-Dokumenten, die auf den ersten Blick seriös wirken und häufig von bekannten Kontakten innerhalb ihrer Organisation oder ihres geschäftlichen Netzwerks stammen. Dieser Social-Engineering-Ansatz erhöht die Wahrscheinlichkeit einer Interaktion seitens der Nutzer erheblich.
Das Besondere an dieser Kampagne ist die Anwendung einer neuartigen Umgehungstechnik, bei der die Nutzer die Strg-Taste gedrückt halten müssen, während sie auf die Schaltfläche „ "“ (Dokument anzeigen) unter" klicken. Diese scheinbar harmlose Anweisung verhindert, dass automatisierte Sicherheitstools die Angriffskette nachverfolgen können. Die Anforderung erscheint wie folgt: „ ". BITTE HALTEN SIE DIE STRG-TASTE AUF IHRER TASTATUR GEDRÜCKT UND KLICKEN SIE AUF ‚DOKUMENT ANZEIGEN‘, UM DARAUF ZUZUGREIFEN," “, wobei gängige Sicherheitsfunktionen von Browsern nachgeahmt werden. Nach der ersten Interaktion mit SharePoint werden die Benutzer durch eine sorgfältig abgestimmte Angriffsabfolge weitergeleitet. Im nächsten Schritt wird eine gefälschte Cloudflare-CAPTCHA-Verifizierungsseite angezeigt, auf der "zu sehen ist. Noch ein Schritt, bevor Sie fortfahren können…" mit dem Kontrollkästchen „ "“ („Verifizieren Sie, dass Sie ein Mensch sind“)".
Diese Technik spiegelt ausgefeilte, auf CAPTCHA basierende Phishing-Methoden wider, die in früheren Bedrohungsanalysen dokumentiert wurden und bei denen Angreifer die Vertrautheit der Nutzer mit legitimen Verifizierungsprozessen ausnutzen, um ihre Glaubwürdigkeit zu wahren. In der letzten Phase werden die Nutzer auf eine überzeugend gestaltete Seite zum Abgreifen von Microsoft 365-Anmeldedaten weitergeleitet, die auf der Cloudflare Workers-Infrastruktur unter Verwendung der Domain „workers.dev“ gehostet wird.
Die Seite ahmt die legitimen Authentifizierungsoberflächen von Microsoft sehr genau nach, einschließlich des korrekten Brandings und der vertrauten Anmeldeaufforderungen. Sobald die Anmeldedaten eingegeben wurden, werden die Informationen umgehend an eine vom Angreifer kontrollierte Infrastruktur weitergeleitet. Diese Kampagne stellt eine Weiterentwicklung des Missbrauchs von Filesharing-Diensten dar und kombiniert mehrere Umgehungstechniken, die sich bei jüngsten Angriffen als wirksam erwiesen haben. Die Nutzung kompromittierter Konten für die anfängliche Verbreitung in Verbindung mit ausgeklügelten Weiterleitungsketten und gefälschten Verifizierungsschritten schafft einen äußerst überzeugenden Angriffsvektor, der sowohl technische Schutzmaßnahmen als auch das Bewusstsein der Nutzer umgehen kann.
Mimecast-Schutz
Mimecast hat Erkennungsfunktionen implementiert, um SharePoint-basierte Phishing-Kampagnen zu identifizieren.
Zielgruppen: Vorwiegend Großbritannien und Australien in den Bereichen Rechtswesen und Immobilienwirtschaft
Indikatoren für eine Kompromittierung (IOCs)
Schädliche Weiterleitungs-URL:
- Dc30a73e.5f93bf50338cd44ab291cddf[.]workers[.]dev
- Fd8b81ca.a61092f8bcd7e61d9ee47a62[.]workers[.]dev
- 608ebb5a.4cef7aca337e6933f8cce00e[.]workers[.]dev/
- 4b2acec0.e1043c97f7f849c0610ee661[.]workers[.]dev/
- 2a20d8a4.790295142856360d9b270379[.]workers[.]dev/
Empfehlungen
Schulung zur Sensibilisierung der Benutzer für Sicherheitsfragen
- Informieren Sie die Benutzer über den Missbrauch von SharePoint-Freigaben und ungewöhnliche Zugriffsanforderungen
- Schulen Sie Ihre Mitarbeiter darin, gefälschte CAPTCHA-Verifizierungsseiten zu erkennen, insbesondere solche, die vor dem Zugriff auf freigegebene Dokumente eine manuelle Bestätigung verlangen
- Führen Sie Phishing-Simulationen durch, die Szenarien zur gemeinsamen Nutzung von SharePoint-Dokumenten mit mehrstufigen Verifizierungsprozessen umfassen
Threat Hunting:
- Durchsuchen Sie die E-Mail-Empfangsprotokolle und URL-Protokolle nach technischen Indikatoren, die mit diesen Kampagnen in Zusammenhang stehen
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!