Dreigingsacteurs maken gebruik van een kunstmatige intelligentie (AI) -presentatieplatform met de naam Gamma in phishing -aanvallen om nietsvermoedende gebruikers te leiden naar vervalste Microsoft -inlogpagina’s.
“Aanvallers bewapenen Gamma, een relatief nieuwe AI-gebaseerde presentatie-tool, om een link te bieden naar een frauduleuze Microsoft SharePoint-inlogportaal,” zei abnormale beveiligingsonderzoekers Callie Hinman Baron en Piotr Wojtyla in een dinsdaganalyse.
De aanvalsketen begint met een phishing -e -mail, in sommige gevallen verzonden vanuit legitieme, gecompromitteerde e -mailaccounts, om berichtenontvangers te verleiden een ingebed PDF -document te openen.
In werkelijkheid is de PDF -bevestiging niets anders dan een hyperlink die, wanneer geklikt, het slachtoffer omleidt naar een presentatie die op gamma wordt gehost die hen ertoe aanzet om op een knop te klikken om “beveiligde documenten te bekijken”.
Dit brengt de gebruiker naar een tussenliggende pagina die Microsoft voordoet en instrueert hen om een CloudFlare Turnstile -verificatiestap te voltooien voordat hij toegang heeft tot het veronderstelde document. Deze captcha -barrière dient om de legitimiteit van de aanval te vergroten en geautomatiseerde URL -analyse te voorkomen door beveiligingstools.
Doelen worden vervolgens naar een phishing-pagina gebracht die zich vermomt als een Microsoft SharePoint-aanmeldingsportal en wil hun inloggegevens verzamelen.
“Als niet-overeenkomende referenties worden verstrekt, activeert het een ‘onjuist wachtwoord’-fout, die aangeeft dat de daders een soort tegenstander gebruiken in de middle (AITM) voor het valideren van referenties in realtime,” merkten de onderzoekers op.
De bevindingen maken deel uit van een voortdurende trend van phishing-aanvallen die legitieme diensten exploiteren om kwaadaardige inhoud te organiseren en e-mailauthenticatiecontroles zoals SPF, DKIM en DMARC, een techniek genaamd Living-off-Trusted-Sites (kavels) te organiseren.
“Deze slimme, multi-fase aanval laat zien hoe de hedendaagse dreigingsacteurs profiteren van de blinde vlekken die zijn gecreëerd door minder bekende hulpmiddelen om detectie te omzeilen, niet vermenging ontvangers te misleiden en accounts te compromitteren,” zeiden de onderzoekers.
“In plaats van rechtstreeks te koppelen aan een credential-oogstpagina, routeren de aanvallers de gebruiker via verschillende intermediaire stappen: eerst naar de door gamma gehost presentatie, vervolgens naar een splash-pagina beschermd door een cloudflare-turnstile, en uiteindelijk naar een spoofed Microsoft-inlogpagina. Deze multi-stage-omleiding verbergt de echte bestemming en maakt het moeilijk voor de statische linkanalyse van het aanvalspad.”
De openbaarmaking komt als Microsoft, in zijn nieuwste cybersignalenrapport, waarschuwde voor een toename van AI-aangedreven fraudeaanvallen om geloofwaardige inhoud te genereren voor aanvallen op schaal met behulp van deepfakes, spraakklonering, phishing-e-mails, authentiek ogende nepwebsites en nepbanen.
“AI -tools kunnen het web scannen en schrapen op bedrijfsinformatie, waardoor aanvallers gedetailleerde profielen van werknemers of andere doelen kunnen bouwen om zeer overtuigende lokt voor social engineering te creëren,” zei het bedrijf.
“In sommige gevallen lokken slechte actoren slachtoffers naar steeds complexere fraudeschema’s met behulp van nep-AI-versterkte productrecensies en AI-gegenereerde winkelpuien, waarbij oplichters hele websites en e-commerce merken creëren, compleet met nep-zakelijke geschiedenis en getuigenissen van klanten.”
Microsoft zei ook dat het actie heeft ondernomen tegen aanvallen georkestreerd door Storm-1811 (AKA STAC5777), die Microsoft Quick Assist-software heeft misbruikt door te poseren zoals het ondersteuning door spraak phishing-schema’s die via teams worden uitgevoerd en slachtoffers overtuigen om hen externe apparaattoegang te verlenen voor de daaropvolgende loskandaat.
Dat gezegd hebbende, er zijn aanwijzingen dat de cybercriminaliteitsgroep achter de teams Vishing -campagne kan verschuiven, kan tactieken zijn. Volgens een nieuw rapport van Reliaquest zijn de aanvallers waargenomen met behulp van een eerder niet -gerapporteerde persistentiemethode met behulp van Typelib Com kaping en een nieuwe PowerShell -achterdeur om detectie te ontwijken en toegang te behouden tot gecompromitteerde systemen.
De dreigingsacteur zou sinds januari 2025 versies van de PowerShell Malware ontwikkelen en vroege iteraties inzetten via kwaadaardige Bing -advertenties. De activiteit, die twee maanden later werd gedetecteerd, richtten zich op klanten in de sectoren Financiën en Professionele, wetenschappelijke en technische diensten, specifiek gericht op werknemers op executive-niveau met vrouwelijke klinkende namen.
De veranderingen in de latere stadia van de aanvalscyclus hebben de mogelijkheid verhoogd dat Storm-1811 ofwel evolueert met nieuwe methoden of het is het werk van een splintergroep, of dat een geheel andere dreigingsacteur dezelfde initiële toegangstechnieken heeft aangenomen die exclusief waren.
“De phishing -chats werden zorgvuldig getimed, landen tussen 14.00 en 15.00 uur, perfect gesynchroniseerd met de lokale tijd van de ontvangerorganisaties en samenvallen met een middag inzinking waarin werknemers minder alert zijn in het spotten van kwaadaardige activiteiten,” zei Reliaquest.
“Of deze Microsoft -teams phishing -campagne is gerund door Black Basta, het is duidelijk dat phishing via Microsoft -teams nergens heen gaat. Aanvallers blijven slimme manieren vinden om verdedigingen te omzeilen en binnen organisaties te blijven.”
