Una nueva campaña de phishing dirigida a los nuevos empleados tiene como objetivo las credenciales de Microsoft 365
5 de noviembre de 2025
Por Rikesh Vekaria, Hiwot Mendahun y el equipo de investigación de amenazas de Mimecast
Suscríbase para recibir notificaciones sobre información de amenazas
- Campaña de robo de credenciales que se hace pasar por notificaciones destinadas a nuevos empleados en varias organizaciones
- Flujo de ataque en varias fases que utiliza páginas de verificación falsas y CAPTCHA para eludir la detección
- Aprovecha la plataforma de phishing como servicio FlowerStorm, con capacidades de «Adversary-in-the-Middle», para eludir la autenticación multifactorial (MFA)
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado una campaña activa de recopilación de credenciales que utiliza señuelos relacionados con los recursos humanos, entre ellos una notificación de incorporación de un nuevo empleado, con el fin de sustraer credenciales de Microsoft 365. Esta operación utiliza señuelos específicos para cada empresa que hacen referencia a nuevos empleados ficticios que se incorporan a las organizaciones objetivo, lo que crea una sensación de legitimidad que fomenta la interacción de los usuarios. La campaña sigue un flujo de ataque en varias fases diseñado para eludir los sistemas de detección automatizados. Los destinatarios reciben correos electrónicos en los que se anuncia la incorporación de nuevos empleados; a menudo, en el asunto se incluye el nombre de la empresa de destino para aumentar la credibilidad.
Cuando los usuarios hacen clic en los enlaces incrustados, se les redirige a páginas de verificación muy convincentes que muestran fotografías de supuestos nuevos usuarios, junto con pruebas CAPTCHA diseñadas para parecer legítimas y, al mismo tiempo, impedir que los escáneres de seguridad accedan a la carga útil final.
Tras completar el proceso de verificación falso, se redirige a las víctimas a páginas de Microsoft destinadas a la recopilación de credenciales. Esta infraestructura se ha relacionado con FlowerStorm, una plataforma de «phishing como servicio» que utiliza ataques de tipo «Adversary-in-the-Middle» (AiTM), diseñados específicamente para capturar credenciales y eludir las medidas de protección de la autenticación multifactorial.
Esta técnica permite a los autores de amenazas interceptar los tokens de autenticación en tiempo real, lo que les proporciona acceso a cuentas protegidas incluso cuando la autenticación multifactorial (MFA) está activada.
Protección de Mimecast
Mimecast ha implementado capacidades de detección mejoradas dirigidas a las técnicas específicas de esta campaña, incluido el análisis de implementaciones falsas de CAPTCHA.
Indicadores de compromiso (IOC)
Asuntos habituales:
- Bienvenida, nueva empleada / [nombre]
- [nombre de la empresa]: Novedades: Nuevo empleado / [nombre]
Infraestructura de recopilación de credenciales:
- copilotnotewelcomedashboardteamsmst365[.]faraway[.]com[.]de
- https://ctrlcopilotappsmst365[.]gleamed[.]com[.]de
- https://onedriveappsdirectmst365[.]gleamed[.]com[.]de
- http://mailboxselfservicecenter[.]gleamed[.]com[.]de
Destinatarios
Varios sectores parecen verse afectados, y las campañas demuestran la capacidad de personalizar los mensajes engañosos con nombres concretos de empresas.
Recomendaciones
Concienciación de los usuarios en materia de seguridad:
- Se debe informar a los usuarios de que verifiquen los anuncios sobre nuevos empleados a través de los canales oficiales de RR. HH., en lugar de hacer clic en los enlaces de los correos electrónicos
- Formar al personal sobre las sofisticadas técnicas de suplantación de identidad basadas en CAPTCHA y sobre la importancia de comprobar la legitimidad de las páginas de verificación
- Llevar a cabo simulaciones de phishing que incorporen nuevos escenarios de ingeniería social dirigidos a los empleados
Detección proactiva de amenazas:
- Busque en los registros de recibos de correo electrónico y en los registros de URL los indicadores técnicos asociados a estas campañas
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!