Mimecast Logo
Obtenga una cotización

    Scattered Spider utiliza un CAPTCHA falso para eludir la detección

    22 de mayo de 2025

    Por Samantha Clarke, Rikesh Vekaria, Ankit Gupta, Hiwot Mendahun y Jared Van Loon

    Puntos clave

    Qué aprenderá en esta notificación

    • Más de 150 000 campañas de phishing que se hacen pasar por proveedores de servicios como SendGrid, HubSpot, Google y Okta
    • Enviados principalmente desde cuentas de SendGrid con marca blanca
    • Uso de un CAPTCHA falso para eludir la detección
    • Campañas recientes dirigidas principalmente a empresas del sector minorista y de software como servicio en EE. UU. y el Reino Unido
    • Objetivo de la campaña: Obtención de credenciales

    El equipo de investigación de amenazas de Mimecast ha estado realizando un seguimiento de varios grupos de campañas de phishing relacionadas que comenzaron en febrero y se prolongarán hasta mayo de 2025. Estas campañas se hacen pasar por proveedores legítimos de servicios de correo electrónico (ESP), principalmente SendGrid, para enviar notificaciones fraudulentas a los usuarios finales. Estas campañas suelen incluir mensajes urgentes sobre restricciones en las cuentas, alertas de inicio de sesión o avisos sobre el cumplimiento normativo, en los que se anima a los destinatarios a hacer clic en una llamada a la acción. El objetivo de estas campañas parece ser la obtención de credenciales para enviar más correos electrónicos de phishing. Como parte de nuestro proceso de investigación de amenazas, hemos informado de ello a SendGrid.

    Campañas de phishing de Okta dirigidas a proveedores de SaaS

    Entre abril y mayo de 2025, detectamos un cambio hacia campañas de spear phishing dirigidas a organizaciones específicas de software como servicio (SaaS), con varias muestras que imitaban los flujos de inicio de sesión de Okta. Okta es una plataforma de gestión de identidades y accesos (IAM) que utilizan miles de organizaciones de todo el mundo y que actúa como puerta de entrada al entorno digital de una empresa. Las páginas de phishing incluyen un diseño basado en el inicio de sesión único (SSO), concebido para aprovecharse de la confianza de los usuarios y obtener sus credenciales en entornos empresariales. Las campañas parecen estar dirigidas a empleados de alto rango que podrían tener un nivel elevado de acceso a los sistemas internos.

    Esta táctica se asemeja mucho a los métodos atribuidos al grupo de actores maliciosos «Scattered Spider», señalado por Silent Push, conocido por su uso de técnicas avanzadas de ingeniería social y de kits de phishing de tipo «adversario en el medio» (AiTM). Al suplantar la identidad de Okta y otros portales de inicio de sesión único (SSO), el grupo pretende comprometer plataformas SaaS de gran valor —como los sistemas de gestión de relaciones con los clientes y de atención al cliente— mediante la captura de credenciales de autenticación y tokens de sesión. El objetivo suele consistir en obtener acceso privilegiado a entornos sensibles, eludir la autenticación multifactorial (MFA) y facilitar el movimiento lateral dentro de las redes empresariales.

    Ataques dispersos de arañas. Imagen 1.png Ataques dispersos de arañas. Imagen 2.png

     

    Táctica: Anuncios intersticiales falsos de CAPTCHA de Cloudflare

    Estas campañas utilizan ventanas intersticiales falsas de CAPTCHA de Cloudflare como mecanismo clave de evasión. Los atacantes muestran una página falsa de Cloudflare con un Ray ID estático antes de redirigir a los usuarios a la página de destino del phishing. Esta técnica imita una solicitud legítima del navegador para eludir los escáneres automáticos de correos electrónicos y direcciones URL.

    Ataques dispersos de arañas. Imagen 3.png

     

    ID de Ray de Cloudflare falso, tal y como se observa en las campañas de phishing de Sendgrid. En las muestras observadas en las campañas de phishing, el Ray ID permanece inalterado, aunque puede aparecer en diferentes tipos de etiquetas HTML.

    Ataques dispersos de arañas. Imagen 4.png

     

    Ray-ID real de Cloudflare, tal y como aparece en una campaña no relacionada, que contiene un Ray-ID real dentro <code>de las etiquetas>del código de <. .

    Ataques dispersos de arañas. Imagen 5.png

     

    Los servicios CAPTCHA legítimos, como Cloudflare y Google reCAPTCHA, suelen exigir claves de API vinculadas a dominios verificados y aplican límites de frecuencia y medidas de protección contra los bots. Mediante el uso de CAPTCHAs falsos, los autores de amenazas pueden eludir estas restricciones, lo que les proporciona un mayor control y flexibilidad a la hora de poner en marcha sus campañas de phishing.

    Además, en numerosas campañas de phishing que se hacen pasar por servicios como SendGrid y Okta se han reutilizado de forma sistemática plantillas creadas con Create React App (CRA). CRA es un marco de desarrollo que permite a los atacantes implementar rápidamente páginas basadas en React con una configuración mínima. Estas páginas suelen conservar los metadatos y los recursos predeterminados de la plantilla «Create React App», lo que constituye un claro indicio de una infraestructura de phishing basada en kits. Un elemento común en estos portales de inicio de sesión falsos es <meta name="description" content=", un sitio web creado con create-react-app"> , <link rel="apple-touch-icon" href="/logo192.png"> , y <link rel="manifest" href="/manifest.json">, junto con elementos no personalizados <title>, tales como «React App» o «SendGrid Verification». La reutilización de recursos estáticos como main.[hash].js y main.[hash].css Esto sugiere que los atacantes están utilizando versiones clonadas con cambios meramente estéticos.

    Ataques dispersos de arañas. Imagen 6.png

     

    Las URL de phishing detectadas en estas campañas siguen patrones estructurales coherentes, diseñados para suplantar la identidad de servicios empresariales de confianza. Muchos dominios incluyen palabras clave como «sso», «login», «cuenta» o «seguridad», y a menudo imitan las convenciones de nomenclatura de las infraestructuras en la nube (por ejemplo, aws-us3-manageprod.com, portal-sendgrld.com). El «typo squatting» es una práctica habitual, que consiste en realizar ligeras modificaciones en los nombres de marcas como SendGrid o Google.

    Un gran número de dominios de estas campañas de phishing se registran a través de NICENIC INTERNATIONAL GROUP CO., LIMITED, un registrador frecuentemente relacionado con prácticas abusivas y al que, en particular, el grupo Scattered Spider ha recurrido con especial frecuencia en sus campañas desde finales de 2024. Su atractivo radica en un proceso de registro sencillo, con controles de identidad mínimos, y en una respuesta tardía ante los abusos, lo que prolonga la vida útil de los sitios maliciosos. NICENIC también ofrece privacidad WHOIS de forma predeterminada, lo que dificulta la identificación y el seguimiento. Los investigadores de amenazas de Mimecast llevaron a cabo comprobaciones manuales para determinar quién había registrado los dominios de la sección de indicadores de compromiso (IOC), lo que confirmó estos patrones, en consonancia con los detalles mencionados en el artículo sobre «silent push». Esta combinación de accesibilidad y anonimato la convierte en una opción atractiva para los autores de amenazas que buscan desplegar y rotar dominios con rapidez.

    En las últimas campañas, el equipo de investigación de amenazas de Mimecast observó la transmisión de credenciales sustraídas. El sitio web de phishing alojado en sendgr.id-unlink[.]com recoge los datos de inicio de sesión y los envía mediante una solicitud POST a la dirección IP 185.208.156.251.

    La dirección IP 185.208.156.251 participa activamente en operaciones de phishing, al servir un certificado TLS de Let's Encrypt que protege varios dominios sospechosos que se muestran a continuación. El certificado, válido desde el 7 de mayo hasta el 5 de agosto de 2025 —es decir, solo durante unos meses—, está alojado en la infraestructura proporcionada por Global-Data System IT Corporation, un proveedor de alojamiento conocido por ofrecer servidores privados virtuales (VPS).

    Ataques dispersos de arañas. Imagen 7.png

    El uso de un certificado TLS válido de Let's Encrypt confiere una apariencia de legitimidad a estos sitios de phishing, lo que podría inducir a los usuarios a confiar en ellos. La concentración de múltiples dominios relacionados con el phishing bajo un único certificado y una única dirección IP sugiere que se trata de una campaña coordinada, que probablemente utilice una infraestructura de backend compartida para optimizar las operaciones.

     

    Protección de Mimecast

    Hemos identificado varios atributos en las campañas recientes que se han incorporado a nuestras capacidades de detección. Seguimos vigilando los cambios en las técnicas que utiliza este actor malicioso.

    Objetivos:

    Principalmente EE. UU., Reino Unido, comercio minorista, SaaS

    IOC

    Dominios identificados en febrero de 2025

    complete-sendgrid[.]com
    response-crmsg[.]com
    response11-sendgrid[.]com hasta response20-sendgrid[.]com
    responseinquiry-tos[.]com
    responsesendgrid[.]com
    review-termsconditions[.]com

    Dominios identificados en abril de 2025

    aws-us3-manageprod[.]com
    internal-ssologin[.]com
    legalcompliance-login[.]com
    login-request[.]com

    login-enterprisesso[.]com
    mange-accountsecurity[.]com
    myhubservices[.]com
    password-internal[.]com
    portal-sendgrld[.]com
    production-us12[.]com
    service-settings[.]com
    sso-accountservices[.]com
    services-goo[.]com
    sso-gservices[.]com
    ssologinservices[.]net
    signon-directory[.]com
    grid-authority[.]com
    grid-network[.]com
    grid-sso[.]com
    sendgr.id-unlink[.]com
    appeal.grid-secureaccount[.]com
    grid-secureaccount[.]com
    send.grid-secureaccount[.]com
    Sgupgradegold[.]com
    grid-sso.com

    Dominios creados recientemente que podrían estar relacionados con Scattered Spider

    oktacheck.it[.]com
    okta.ubzbpmwxvmskewyqbhsgbcxhdfmetr.micraclefoundations.it[.]com
    okta.athuymircrosovfts365ovaw.it[.]com

    IP

    185.208.156.251
    84.200.205.9

    Recomendaciones

    • Formación sobre concienciación de los usuarios
      • La primera línea de defensa frente a cualquier forma de phishing consiste en formar a su personal para que no confíe en todos los enlaces y sea capaz de identificar los enlaces o páginas web maliciosos
      • Realice simulaciones periódicas de phishing que incluyan situaciones relacionadas con los permisos de Okta
      • Asegúrese de que los usuarios identifiquen de forma activa los ataques de «fatiga de la autenticación multifactorial» y sepan cómo prevenirlos
    • Revisión de la política de seguridad
      • Implemente una autenticación multifactorial (MFA) sólida, dando prioridad a los métodos resistentes al phishing. Desactive los métodos de autenticación menos seguros para reducir considerablemente el robo de credenciales, aunque es posible que los atacantes más sofisticados sigan intentándolo.
      • Aplique políticas de acceso condicional para conceder la autenticación y la autorización únicamente a los dispositivos proporcionados por la organización, lo que reducirá considerablemente los accesos no autorizados.
    • Caza proactiva de amenazas
      • Busque en los registros de URL Protect utilizando filtros específicos para los dominios y el RAY ID identificados, ya que esto constituye un indicador clave de compromiso.
      • Detecte eventos de autenticación procedentes de rangos de direcciones IP desconocidos, especialmente aquellos asociados a infraestructuras de atacantes conocidas.
      • Busque páginas de phishing basadas en React que contengan metadatos reveladores, como el sitio web ", creado con create-react-app."
      • Busque en los registros de recibos de correo los mensajes relacionados con Sendgrid
    Back to Top