Sahtekâr Microsoft SharePoint bildirimleri, kurumsal kullanıcılar için tanıdık bir cazibe olmuştur, ancak Mart ve Temmuz 2025 arasında izlenen bir kampanya dalgası hem hacimde hem de sofistike keskin bir artış göstermektedir.
Operatörler, “SharePoint-online-Docs-Secure gibi benzeri alanlar kaydına girer[.]CO ”ve“ Files-Share-Portal-M365[.]IO, ”daha sonra bunları SPF ve DKIM kontrollerini geçen ikna edici e-postalara yerleştirerek çevre filtrelerini geçerek kaydırın.
Bir alıcı tıkladıktan sonra, zincir, kimlik bilgilerini ve oturum çerezlerini hasat etmek için neredeyse piksel mükemmel bir SharePoint giriş klonu sunmadan önce birkaç tek kullanımlık izleme ana bilgisayarından sessizce yönlendirilir.
Daha önceki kimlik bilgisi hasat kitlerinden farklı olarak, bu sayfalar derhal Microsoft’un push tabanlı iki faktörlü kimlik doğrulamasını (2FA) taklit eden ikincil bir istemi tetikler. Mağdurlara “Windows’ta Edge’den yeni bir oturum açma girişiminin” onayına ihtiyacı olduğu söyleniyor.
Eğer uyurlarsa, saldırganlar hem şifreyi hem de bir kerelik jetonu gerçek zamanlı olarak keserek SharePoint’e, ekiplere ve daha geniş M365 kiracılarına sorunsuz erişim sağlar.
Any.Run analistleri, özdeş JavaScript Beacons’ı geri arayan altyapıyı tanımladıktan sonra altyapıyı tanımladılar. cdn.alboompro[.]com/assets/js/auth2fa.jsAlboompro’nun meşru içerik dağıtım ağında barındırılan ancak teminatsız yükleme uç noktası ile istismar edilen bir dosya.
Aynı analistler, alanların dar bir kayıt penceresini – genellikle ilk kullanımdan <24 saat önce - otomatik düzenlemeyi desteklediğini kaydetti.
DNS telemetrisi, çoğu alan adının Doğu Avrupa’daki kurşun geçirmez VPS sağlayıcıları aracılığıyla çözüldüğünü, ömür boyu beş günden daha kısa bir sürede blok listelerini engellediğini ortaya koydu.
.webp)
Bu PDF Doc, sanal alan patlaması sırasında yakalanan işaretleme dizisini göstermektedir.
Enfeksiyon mekanizması: MFA jetonlarının gerçek zamanlı proxying
Kampanyanın merkezinde, Node.js’de yazılmış şeffaf bir ters proxy var.
Proxy iki komut dosyası enjekte eder: biri loginfmt ve passwd post parametrelerini yakalayan ve diğeri 2FA adımı sırasında doğrulama işlemini bağlayan diğeri.
Canlı bir sunucudan kurtarılan aşağıdaki kod parçası, önemli kesişimi vurgular:-
proxy.on('response', (ctx, callback) => {
if (ctx.clientToProxyRequest.url.includes('/login')) {
const body = ctx.proxyToServerRequestBody.toString();
const creds = body.match(/loginfmt=(.?)&passwd=(.?)&/);
save(creds[1], creds[2]); // exfiltrate credentials
}
if (ctx.clientToProxyRequest.url.includes('/SecondFactorAuth')) {
const token = JSON.parse(ctx.proxyToServerResponseData).proof;
saveMfaToken(token); // steal 2FA token
}
return callback();
});Proxy, arka uçta Microsoft ile canlı bir TLS oturumu sürdürdüğünden, HST’ler ve içerik-güvenlik politikası da dahil olmak üzere her güvenlik üstbilgisi tarayıcıya sağlam görünür ve çoğu istemci tarafı anomali tarayıcısını yener.
Ayrıca, komut dosyası her oturumdan sonra kendi dağıtım yolunu siler ve VPS’nin yeniden görüntülemesinde yok olan bellekte sadece geçici günlükleri bırakır.
Erken algılama, SharePoint Decoy URL’lerini desenle eşleştirir. Run araştırmacıları tarafından yayınlanan sağlam bir başlangıç yara kuralı /_layouts/15/start.aspx ve Rogue 2FA betiği karma karakteristik karışımını işaretleyerek SOC ekiplerine hemen av kolu sağlıyor.
Kimlik sağlayıcıları, sürekli erişim değerlendirmesi gibi menşe bağlı jetonlar ve hafifletmeler benimseyene kadar, kuruluşlar bu hızlı hareket eden tehdide maruz kalmayı azaltmak için etki alanı yaş filtrelemesini kullanıcı tarafından bildirilen MFA yorgunluk göstergeleriyle birleştirmelidir.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi