В последние недели эксперты по кибербезопасности зафиксировали значительный рост фишинговых атак, использующих домены, маскирующиеся под Microsoft SharePoint. Эти домены отличаются строгими шаблонами в названиях, что позволяет злоумышленникам эффективно обходить традиционные системы защиты. Особую опасность представляют техники Sneaky2FA, в рамках которых жертвы взаимодействуют с поддельными страницами входа, не подозревая, что их учетные данные перехватываются в реальном времени.
Описание
С 26 июня 2025 года количество таких доменов и связанных с ними задач в системах мониторинга заметно увеличилось. Анализ показывает, что злоумышленники активно используют легитимный хостинг Alboompro для размещения фишингового контента. Этот сервис, предназначенный для создания онлайн-портфолио и лендингов, стал инструментом в руках киберпреступников, которые регистрируют поддомены, имитирующие сайты реальных компаний.
Структура поддельных доменов
Все обнаруженные домены следуют единому шаблону. Они используют домен верхнего уровня .org, а их названия включают в себя сложные строки символов, за которыми следует фиксированная часть "-mysharepoint". Например:
- 9yusq7ngwdm365cj87v39gs5do8we-mysharepoint.tahofire[.]org
- 2yusq7ngwdm835cj87v63gs5do8we-mysharepoint.fencecorps[.]org
Эти строки содержат изменяющиеся числовые значения, но сохраняют общую структуру, что позволяет автоматизировать их создание и усложняет обнаружение. Вторая часть доменного имени часто имитирует ресурсы американских организаций, что повышает доверие жертв.
Техники атак и обход защиты
Один из классических сценариев атаки начинается с фишингового письма, якобы содержащего ссылку на документ. Однако вместо файла жертва попадает на поддельную страницу, размещенную на Alboompro. После этого пользователя перенаправляют на фальшивый SharePoint, где требуется пройти CAPTCHA - это создает ложное ощущение безопасности.
На следующем этапе жертва видит точную копию интерфейса входа Microsoft. Страница загружается через прокси-сервер злоумышленников, что позволяет перехватывать логины, пароли и даже двухфакторную аутентификацию. Этот метод, известный как Sneaky2FA, крайне сложно обнаружить без специальных инструментов анализа трафика.
Злоупотребление легитимными сервисами
Alboompro.com стал популярной платформой для размещения фишинговых материалов. С мая 2025 года зафиксировано более 250 инцидентов, связанных с этим доменом, и более 130 его поддоменов использовались в мошеннических схемах. Поскольку сервис позволяет пользователям создавать собственные поддомены, злоумышленники активно этим пользуются, регистрируя адреса, похожие на сайты реальных компаний.
Методы обнаружения и противодействия
Для выявления подобных атак специалисты рекомендуют использовать системы мониторинга, способные анализировать структуру доменных имен. Например, запросы вида domainName:"?yusq7ngwdm??5cj87v??gs5do8we-mysharepoint.*.org" позволяют находить подозрительные домены по их шаблону. Также эффективен поиск по маске "*-mysharepoint.*.org", который охватывает все вариации подобных адресов.
Увеличение числа атак на SharePoint и злоупотребление такими сервисами, как Alboompro, подчеркивают необходимость усиления мер безопасности. Компаниям следует обучать сотрудников распознаванию фишинговых писем, а также внедрять системы анализа трафика, способные обнаруживать прокси-атаки и подмену страниц в реальном времени. Без комплексного подхода риски утечки учетных данных будут только расти.
Индикаторы компрометации
Domains
- 2yusq7ngwdm385cj87v68gs5do8we-mysharepoint.capernos.org
- 2yusq7ngwdm385cj87v68gs5do8we-mysharepoint.gafestivaloftree.org
- 2yusq7ngwdm835cj87v63gs5do8we-mysharepoint.fencecorps.org
- 3yusq7ngwdm835cj87v63gs5do8we-mysharepoint.twfasc.org
- 5yusq7ngwdm835cj87v63gs5do8we-mysharepoint.laborers551.org
- 9yusq7ngwdm365cj87v39gs5do8we-mysharepoint.tahofire.org
- 9yusq7ngwdm365cj87v39gs5do8we-mysharepoint.wsrevices.org