Abus du partage de fichiers SharePoint avec contournement du CAPTCHA
17 octobre 2025
Par l'équipe de recherche sur les menaces de Mimecast
- Des cybercriminels exploitent les services de partage de fichiers SharePoint pour voler des identifiants
- Chaîne d'attaque en plusieurs étapes utilisant des comptes compromis et des techniques de contournement sophistiquées
- Ces campagnes nécessitent une interaction de type « Ctrl + clic » pour contourner les analyses de sécurité automatisées
- Fausse vérification CAPTCHA de Cloudflare précédant le vol d'identifiants Microsoft 365
- Charge utile finale hébergée sur l'infrastructure de workers.dev
Présentation de la campagne
L'équipe Mimecast Threat Research a identifié une campagne active de collecte d'identifiants qui exploite la fonctionnalité de partage de fichiers de Microsoft SharePoint pour mener des attaques de Phishing. L'attaque commence par l'envoi d'e-mails provenant de comptes Microsoft 365 piratés, ce qui confère une crédibilité immédiate à ces messages malveillants. Les destinataires reçoivent ce qui semble être des notifications légitimes de partage de documents SharePoint, provenant souvent de contacts connus au sein de leur organisation ou de leur réseau professionnel. Cette approche d'ingénierie sociale augmente considérablement les chances d'obtenir une réaction de la part des utilisateurs.
Ce qui distingue cette campagne, c'est la mise en œuvre d'une technique de contournement inédite qui oblige les utilisateurs à maintenir la touche Ctrl enfoncée tout en cliquant sur le bouton « "VIEW DOCUMENT" ». Cette instruction, en apparence anodine, empêche les outils de sécurité automatisés de suivre la chaîne d'attaques. La demande s'affiche sous la forme suivante : « "VEUILLEZ MAINTENIR LA TOUCHE CTRL DE VOTRE CLAVIER ENFONCÉE ET CLIQUER SUR « AFFICHER LE DOCUMENT » POUR Y ACCÉDER," », imitant ainsi les fonctionnalités de sécurité courantes des navigateurs. À la suite de cette première interaction avec SharePoint, les utilisateurs sont redirigés vers une séquence d'attaques minutieusement orchestrée. L'étape suivante affiche une fausse page de vérification CAPTCHA de Cloudflare présentant l'adresse ". Encore une étape avant de continuer..." avec la case à cocher « "Verify you are human » (Vérifiez que vous êtes un humain)".
Cette technique fait écho à des méthodes sophistiquées de Phishing basées sur les CAPTCHA, décrites dans des études antérieures sur les menaces, dans lesquelles les attaquants tirent parti de la familiarité des utilisateurs avec les processus de vérification légitimes pour préserver leur crédibilité. La dernière étape redirige les utilisateurs vers une page de collecte d'identifiants Microsoft 365 très réaliste, hébergée sur l'infrastructure Cloudflare Workers via le domaine workers.dev.
Cette page imite fidèlement les interfaces d'authentification officielles de Microsoft, avec l'habillage graphique approprié et les invites de connexion habituelles. Une fois les identifiants saisis, les informations sont immédiatement exfiltrées vers une infrastructure contrôlée par le pirate. Cette campagne marque une évolution dans l'utilisation abusive des services de partage de fichiers, en combinant plusieurs techniques de contournement qui se sont révélées efficaces lors d'opérations malveillantes récentes. L'utilisation de comptes piratés pour la diffusion initiale, associée à des chaînes de redirection sophistiquées et à de fausses étapes de vérification, crée un vecteur d'attaque très convaincant, capable de contourner à la fois les contrôles techniques et la vigilance des utilisateurs.
Protection Mimecast
Mimecast a mis en place des fonctionnalités de détection permettant d'identifier les campagnes de Phishing basées sur SharePoint.
Cibles : principalement le Royaume-Uni et l'Australie, dans les secteurs juridique et immobilier
Indicateurs de compromission (IOC)
URL de redirection malveillante :
- Dc30a73e.5f93bf50338cd44ab291cddf[.]workers[.]dev
- Fd8b81ca.a61092f8bcd7e61d9ee47a62[.]workers[.]dev
- 608ebb5a.4cef7aca337e6933f8cce00e[.]workers[.]dev/
- 4b2acec0.e1043c97f7f849c0610ee661[.]workers[.]dev/
- 2a20d8a4.790295142856360d9b270379[.]workers[.]dev/
Recommandations
Formation à la sensibilisation à la sécurité destinée aux utilisateurs
- Sensibilisez les utilisateurs aux abus en matière de partage sur SharePoint et aux demandes d'accès inhabituelles
- Formez le personnel à reconnaître les fausses pages de vérification CAPTCHA, en particulier celles qui exigent une vérification humaine avant d'accéder à des documents partagés
- Réalisez des simulations de Phishing incluant des scénarios de partage de documents sur SharePoint avec des processus de vérification en plusieurs étapes
Recherche de menaces :
- Recherchez dans les journaux des e-mails de confirmation et les journaux d'URL les indicateurs techniques associés à ces campagnes
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!