Las notificaciones falsas de Microsoft SharePoint han sido un señuelo familiar para los usuarios corporativos, pero una ola de campañas rastreadas entre marzo y julio de 2025 muestra un aumento agudo tanto en volumen como en sofisticación.
Los operadores registran dominios parecidos como “SharePoint-Online-Docs-Secure (.) CO” y “Files-S-Share-Portal-M365 (.) IO”, luego los incrustan en correos electrónicos convincentes que pasan cheques SPF y DKIM, deslizando los filtros perimetrales más allá.
Una vez que un destinatario hace clic, la cadena redirige silenciosamente a través de varios hosts de seguimiento desechable antes de presentar un clon de inicio de sesión de SharePoint casi perfecto, complicado con la marca Microsoft Viva, para cosechar credenciales y cookies de sesión.
A diferencia de los kits de recolección de credenciales anteriores, estas páginas inmediatamente desencadenan un indicador secundario que imita la autenticación de dos factores (2FA) basada en Microsoft. A las víctimas se les dice que un “nuevo intento de inicio de sesión desde Edge en Windows” necesita aprobación.
Si cumplen, los atacantes interceptan tanto la contraseña como el token único en tiempo real, permitiendo un acceso perfecto a SharePoint, equipos y al inquilino M365 más amplio.
Any. Analistas identificado La infraestructura después de notar las balizas de JavaScript idénticas que vuelve a llamar a CDN.albooMPro (.) Com/Assets/JS/Auth2fa.js, un archivo alojado en la red legítima de contenido de contenido de AlbooMPro, pero abusó a través de un punto final de carga sin seguridad.
Estos mismos analistas señalaron que los dominios comparten una ventana de registro estrecha, a menudo <24 horas antes del primer uso, suministrando orquestación automatizada.
La telemetría DNS reveló que la mayoría de los dominios se resuelven a través de proveedores de VPS a prueba de balas en Europa del Este, con una vida más corta de cinco días, lo que obstaculiza las listas de bloques.
Documento PDF falso (fuente – Any.run)
Este Doc PDF ilustra la secuencia de baliza capturada durante la detonación de Sandbox.
Mecanismo de infección: representante en tiempo real de tokens MFA
En el corazón de la campaña hay un proxy inverso transparente escrito en node.js que transmite todo el tráfico de víctimas al punto final de inicio de sesión legítimo de Microsoft mientras desvía los tokens.
El proxy inyecta dos scripts: uno que captura los parámetros LoginfMt y Passwd Post y otro que engancha la verificación de la carga durante el paso 2FA.
El fragmento de código a continuación, recuperado de un servidor en vivo, resalta la intercepción crucial:-
proxy.on (‘respuesta’, (ctx, callback) => {
if (ctx.clientToProxyRequest.url.Includes (‘/Login’)) {
const body = ctx.proxyToserverRequestBody.ToString ();
const creds = body.match (/loginfmt = (.?) & passwd = (.?) &//);
guardar (creds (1), creds (2)); // exfiltrado credenciales
}
if (ctx.clientToProxyRequest.url.Includes (‘/SecondFactorauth’)) {
const token = json.parse (ctx.proxyToserverResponsedata) .proof;
savemfatoken (token); // robar token 2FA
}
devolver la devolución de llamada ();
});
Debido a que el proxy mantiene una sesión de TLS en vivo con Microsoft en el backend, cada encabezado de seguridad, incluidos los HST y la política de seguridad de contenido, aparece intacta para el navegador, derrotando a la mayoría de los escáneres de anomalías del lado del cliente.
Además, el script elimina su propia ruta de implementación después de cada sesión, dejando solo registros efímeros en la memoria, que desaparecen al reimular VPS.
La detección temprana depende de la combinación de patrones de las URL de señuelo de SharePoint. Una regla robusta de Starter Yara publicada por cualquiera. Los investigadores de RUN marcan la combinación característica de /_layouts/15/start.aspx y Rogue 2FA Script Hash, proporcionando a los equipos de SOC un mango de caza inmediato.
Hasta que los proveedores de identidad adopten tokens y mitigaciones de origen, como la evaluación de acceso continuo, las organizaciones deben combinar el filtrado de la edad del dominio con los indicadores de fatiga MFA informados por el usuario para reducir la exposición a esta amenaza de rápido movimiento.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
