Uso indebido del sistema de intercambio de archivos de SharePoint mediante la elusión del CAPTCHA
17 de octubre de 2025
Por el equipo de investigación de amenazas de Mimecast
- Los autores de amenazas aprovechan los servicios de intercambio de archivos de SharePoint para obtener credenciales
- Cadena de ataque en varias fases que utiliza cuentas comprometidas y técnicas sofisticadas de evasión
- Las campañas requieren una interacción mediante Ctrl+clic para eludir los análisis de seguridad automatizados
- Verificación CAPTCHA falsa de Cloudflare previa al robo de credenciales de Microsoft 365
- Carga útil final alojada en la infraestructura de workers.dev
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado una campaña activa de recopilación de credenciales que se aprovecha de la función para compartir archivos de Microsoft SharePoint con el fin de llevar a cabo ataques de phishing. El ataque comienza con correos electrónicos procedentes de cuentas de Microsoft 365 que han sido comprometidas, lo que confiere una credibilidad inmediata a los mensajes maliciosos. Los destinatarios reciben lo que parecen ser notificaciones legítimas de SharePoint sobre el intercambio de documentos, a menudo procedentes de contactos conocidos de su organización o de su red empresarial. Este enfoque de ingeniería social aumenta considerablemente la probabilidad de que los usuarios interactúen.
Lo que distingue a esta campaña es la implementación de una novedosa técnica de evasión que obliga a los usuarios a mantener pulsada la tecla Ctrl mientras hacen clic en el botón « "» (VER DOCUMENTO)". Esta instrucción, aparentemente inofensiva, impide que las herramientas de seguridad automatizadas sigan la cadena de ataque. El requisito aparece como « "». POR FAVOR, MANTENGA PULSADA LA TECLA CTRL DE SU TECLADO Y HAGA CLIC EN «VER DOCUMENTO» PARA ACCEDER,", imitando las funciones de seguridad habituales de los navegadores. Tras la interacción inicial con SharePoint, se redirige a los usuarios a través de una secuencia de ataque cuidadosamente orquestada. En la siguiente fase aparece una página falsa de verificación CAPTCHA de Cloudflare en la que se muestra ". Un paso más antes de continuar..." con la casilla « "» (Verifique que es usted humano)".
Esta técnica imita los sofisticados métodos de phishing basados en CAPTCHA descritos en estudios anteriores sobre amenazas, en los que los atacantes se aprovechan de la familiaridad de los usuarios con los procesos de verificación legítimos para mantener su credibilidad. La etapa final redirige a los usuarios a una página de suplantación de credenciales de Microsoft 365 muy convincente, alojada en la infraestructura de Cloudflare Workers mediante el dominio workers.dev.
La página imita fielmente las interfaces de autenticación legítimas de Microsoft, con la imagen de marca adecuada y las pantallas de inicio de sesión habituales. Una vez introducidas las credenciales, la información se filtra inmediatamente hacia una infraestructura controlada por el atacante. Esta campaña supone una evolución en el uso indebido de los servicios de intercambio de archivos, ya que combina múltiples técnicas de evasión que han demostrado su eficacia en operaciones de amenazas recientes. El uso de cuentas comprometidas para la distribución inicial, junto con sofisticadas cadenas de redireccionamiento y pasos de verificación falsos, crea un vector de ataque muy convincente capaz de eludir tanto los controles técnicos como la concienciación de los usuarios.
Protección de Mimecast
Mimecast ha implementado funciones de detección para identificar campañas de phishing basadas en SharePoint.
Público objetivo: Principalmente el Reino Unido y Australia, en los sectores jurídico e inmobiliario
Indicadores de compromiso (IOC)
URL de redireccionamiento malicioso:
- Dc30a73e.5f93bf50338cd44ab291cddf[.]workers[.]dev
- Fd8b81ca.a61092f8bcd7e61d9ee47a62[.]workers[.]dev
- 608ebb5a.4cef7aca337e6933f8cce00e[.]workers[.]dev/
- 4b2acec0.e1043c97f7f849c0610ee661[.]workers[.]dev/
- 2a20d8a4.790295142856360d9b270379[.]workers[.]dev/
Recomendaciones
Formación en concienciación sobre seguridad para usuarios
- Informar a los usuarios sobre el uso indebido de las funciones para compartir en SharePoint y sobre los requisitos de acceso inusuales
- Forme al personal para que sepa reconocer las páginas falsas de verificación CAPTCHA, especialmente aquellas que solicitan una verificación manual antes de acceder a documentos compartidos
- Lleve a cabo simulaciones de phishing que incluyan situaciones de intercambio de documentos en SharePoint con procesos de verificación en varios pasos
Detección proactiva de amenazas:
- Busque en los registros de recibos de correo electrónico y en los registros de URL los indicadores técnicos relacionados con estas campañas
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!