Incidentes Asociados
Una herramienta de presentación basada en IA llamada Gamma se está utilizando en ataques de phishing para engañar a los objetivos y hacerles creer que un correo electrónico es legítimo.
Así lo afirman investigadores de la empresa de seguridad Abnormal Security, que publicó hoy un estudio sobre Gamma y cómo los cibercriminales la están utilizando indebidamente para alcanzar a los objetivos en una nueva campaña. Gamma es un producto de diseño gráfico, por lo demás legítimo, que los clientes utilizan para generar presentaciones con modelos de IA generativa, pero los investigadores de Abnormal detallaron cómo puede utilizarse para enviar un enlace a un portal falso de Microsoft.
"Este ingenioso ataque multietapa muestra cómo los cibercriminales actuales se aprovechan de los puntos ciegos creados por herramientas menos conocidas para eludir la detección, engañar a destinatarios desprevenidos y comprometer cuentas", se lee en la entrada del blog de investigación.
Aprovechamiento de Gamma para ataques de phishing
En un ejemplo de ataque compartido en la entrada del blog, un actor de amenazas envió un correo electrónico a un objetivo a través de una cuenta legítima, pero robada. El correo incluía un breve mensaje con una llamada a la acción para ver un PDF adjunto.
Al hacer clic en el "archivo adjunto" (una imagen de un PDF incrustada en el correo), se accedía a una presentación de Gamma en una página web legítima de Gamma con un enlace para ver el "documento PDF completo".
"La presentación incluye el logotipo de la organización suplantada, un mensaje diseñado para aparecer como notificación sobre el archivo compartido y un botón de llamada a la acción prominente, generalmente etiquetado como 'Ver PDF' o 'Revisar documentos seguros'", indica la investigación de Abormal. "Al pasar el cursor sobre la llamada a la acción, se revela que es un enlace a un subdominio que contiene el nombre de la empresa suplantada".
Cuando el objetivo hace clic en la segunda llamada a la acción en la página Gamma, se le redirige a una página de transición con un logotipo fraudulento de Microsoft y una herramienta de detección de bots de Cloudflare. Si completa la comprobación de Cloudflare, accede a una página de inicio de sesión de Microsoft SharePoint falsa, pero convincente, diseñada para obtener las credenciales del objetivo.
Curiosamente, la campaña utiliza una técnica de adversario en el intermediario (AiTM) Abnormal detalló previamente en la que la página de inicio de sesión falsa de Microsoft aparentemente verifica las credenciales en tiempo real e indica si son incorrectas.
Abnormal denominó ataques "living off-trusted-sites" (LOTS) a la práctica de los actores de amenazas que utilizan sitios legítimos para alojar contenido malicioso. Este es solo el ejemplo más reciente de cómo los atacantes de phishing han intensificado su estrategia de forma notable.
Dark Reading preguntó a Piotr Wojtyla, director de inteligencia y plataforma de amenazas de Abnormal, si el uso de herramientas de verificación de credenciales en tiempo real y de verificación de bots es más útil como herramienta de ingeniería social para que el objetivo se sienta seguro. "Totalmente", respondió.
"Si bien el objetivo principal de los ataques AiTM es capturar tokens y sesiones de MFA para obtener acceso no autorizado a la cuenta del objetivo, generar confianza y mejorar la apariencia de legitimidad son igualmente importantes", concluyó Wojtyla. En este caso, el atacante utiliza una presentación Gamma, un autenticador falso sin captcha y una pantalla de inicio de sesión falsa y convincente para recrear un flujo que refleja exactamente lo que el objetivo esperaría ver. Esto, a su vez, genera confianza, reduce la fricción y evita alertas.
Qué hacer
Para una organización que intenta protegerse contra este ataque, las mejores prácticas habituales en el phishing siguen siendo aplicables. El ejemplo que proporcionó Abnormal incluía, por parte del actor de la amenaza, llamadas a la acción genéricas, URL inapropiadas para una página de inicio de sesión de SharePoint y errores gramaticales.
Sin embargo, como señaló Abnormal en su investigación, esta campaña es más difícil de detectar que un phishing común porque se originó desde una dirección de correo electrónico legítima (aunque mal utilizada) y utilizó un producto legítimo.
Por parte de Gamma, Wojtyla afirma que, dado que este tipo de ataques de phishing son cada vez más comunes, los proveedores de plataformas en la nube que permiten a cualquier persona usar sus herramientas "deben contar con sistemas y procesos implementados para detectar el uso malicioso e inhabilitar el acceso al contenido".
"Esto incluye el escaneo y análisis automatizado de contenido, la detección de enlaces de phishing, el uso de fuentes de información sobre amenazas, la revisión de informes de usuarios finales y el seguimiento del comportamiento", explicó. "Los proveedores también pueden agregar banners de advertencia que alertan a los usuarios cuando son redirigidos a un sitio externo a Gamma".
Dark Reading contactó a Gamma por correo electrónico para obtener más información, pero la empresa no había respondido al cierre de esta edición.