Abuso della funzione di condivisione file di SharePoint con elusione del CAPTCHA
17 ottobre 2025
A cura del Mimecast Threat Research Team
- Gli autori delle minacce sfruttano i servizi di condivisione file di SharePoint per il furto di credenziali
- Catena di attacchi in più fasi che utilizza account compromessi e sofisticate tecniche di elusione
- Le campagne richiedono l'interazione tramite Ctrl+clic per eludere le analisi di sicurezza automatizzate
- Verifica CAPTCHA fasulla di Cloudflare che precede il furto delle credenziali di Microsoft 365
- Payload finale ospitato sull'infrastruttura di workers.dev
Panoramica della campagna
Il team Mimecast Threat Research ha individuato una campagna attiva di raccolta di credenziali che sfrutta la funzionalità di condivisione dei file di Microsoft SharePoint per sferrare attacchi di phishing. L'attacco ha inizio con e-mail provenienti da account Microsoft 365 compromessi, il che conferisce immediata credibilità ai messaggi malevoli. I destinatari ricevono quelle che sembrano essere notifiche legittime relative alla condivisione di documenti su SharePoint, spesso provenienti da contatti noti all’interno della propria organizzazione o della propria rete aziendale. Questo approccio di ingegneria sociale aumenta in modo significativo la probabilità di coinvolgimento degli utenti.
Ciò che contraddistingue questa campagna è l’utilizzo di una tecnica di elusione innovativa che richiede agli utenti di tenere premuto il tasto Ctrl mentre fanno clic sul pulsante “ "” (Visualizza documento)". Questa istruzione, apparentemente innocua, impedisce agli strumenti di sicurezza automatizzati di seguire la catena di attacco. Il requisito è riportato all'indirizzo ". PER ACCEDERVI, SI PREGA DI TENERE PREMUTO IL TASTO CTRL SULLA TASTIERA E DI FARE CLIC SU "VISUALIZZA DOCUMENTO",", imitando le comuni funzionalità di sicurezza dei browser. A seguito della prima interazione con SharePoint, gli utenti vengono reindirizzati attraverso una sequenza di attacchi accuratamente pianificata. La fase successiva presenta una pagina di verifica CAPTCHA di Cloudflare contraffatta che mostra ". Ancora un passo prima di procedere..." con la casella di controllo " "" (Verifica di essere un essere umano)".
Questa tecnica rispecchia le sofisticate tecniche di phishing basate sui CAPTCHA documentate in precedenti ricerche sulle minacce, in cui gli autori degli attacchi sfruttano la familiarità degli utenti con i processi di verifica legittimi per mantenere la propria credibilità. La fase finale reindirizza gli utenti verso una pagina di raccolta delle credenziali di Microsoft 365 particolarmente convincente, ospitata sull’infrastruttura di Cloudflare Workers tramite il dominio workers.dev.
La pagina riproduce fedelmente le interfacce di autenticazione ufficiali di Microsoft, complete di marchio corretto e delle consuete schermate di accesso. Una volta inserite le credenziali, le informazioni vengono immediatamente sottratte e trasferite verso un’infrastruttura controllata dall’autore dell’attacco. Questa campagna rappresenta un’evoluzione nell’uso improprio dei servizi di condivisione file, combinando diverse tecniche di elusione che si sono dimostrate efficaci nelle recenti operazioni di attacco. L'utilizzo di account compromessi per la diffusione iniziale, unito a sofisticate catene di reindirizzamento e a false procedure di verifica, crea un vettore di attacco estremamente convincente in grado di eludere sia i controlli tecnici sia la consapevolezza degli utenti.
Protezione Mimecast
Mimecast ha implementato funzionalità di rilevamento per identificare le campagne di phishing basate su SharePoint.
Destinatari: prevalentemente Regno Unito e Australia nei settori legale e immobiliare
Indicatori di compromissione (IOC)
URL di reindirizzamento dannoso:
- Dc30a73e.5f93bf50338cd44ab291cddf[.]workers[.]dev
- Fd8b81ca.a61092f8bcd7e61d9ee47a62[.]workers[.]dev
- 608ebb5a.4cef7aca337e6933f8cce00e[.]workers[.]dev/
- 4b2acec0.e1043c97f7f849c0610ee661[.]workers[.]dev/
- 2a20d8a4.790295142856360d9b270379[.]workers[.]dev/
Raccomandazioni
Formazione sulla sensibilizzazione alla sicurezza degli utenti
- Informare gli utenti in merito agli abusi nella condivisione su SharePoint e alle richieste di accesso insolite
- Formare il personale affinché sia in grado di riconoscere le pagine di verifica CAPTCHA contraffatte, in particolare quelle che richiedono una verifica manuale prima di accedere ai documenti condivisi
- Effettuare simulazioni di phishing che includano scenari di condivisione di documenti su SharePoint con processi di verifica in più fasi
Ricerca delle minacce:
- Effettuare una ricerca nei registri delle ricevute e-mail e nei registri degli URL per individuare gli indicatori tecnici associati a tali campagne
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!