Incidentes Asociados
Las plataformas de generación de contenido basadas en IA están transformando nuestra forma de trabajar y cómo los cibercriminales lanzan ataques.
En esta campaña recién descubierta, los atacantes utilizan Gamma, una herramienta de presentación relativamente nueva basada en IA, para enviar un enlace a un portal fraudulento de inicio de sesión de Microsoft SharePoint. Aprovechando que los empleados podrían no estar familiarizados con la plataforma (y, por lo tanto, desconocer su potencial de explotación), los cibercriminales crean un flujo de phishing tan refinado que parece legítimo en cada paso.
Este ingenioso ataque multietapa muestra cómo los cibercriminales actuales se aprovechan de los puntos ciegos creados por herramientas menos conocidas para eludir la detección, engañar a destinatarios desprevenidos y comprometer cuentas.
Desglosando el ataque de phishing Gamma
El primer paso es un correo electrónico aparentemente inofensivo. En el ejemplo analizado en esta entrada de blog, el correo electrónico malicioso se envía desde una cuenta de correo electrónico legítima y comprometida perteneciente al fundador de una escuela de educación especial.
El correo electrónico incluye un mensaje breve y genérico con una invitación para ver el archivo adjunto. Nuestra investigación reveló que los nombres de los archivos suelen incluir el nombre de la empresa suplantada. También observamos que el documento al que se hace referencia siempre aparece como un archivo PDF adjunto, pero en realidad es solo un hipervínculo.
Si el destinatario hace clic en el supuesto PDF, se le redirige a una presentación alojada en Gamma, un creador de presentaciones en línea basado en IA.
La presentación incluye el logotipo de la organización suplantada, un mensaje diseñado para aparecer como una notificación sobre el archivo compartido y un botón de llamada a la acción prominente, generalmente etiquetado como "Ver PDF" o "Revisar documentos seguros". Al pasar el cursor sobre el botón, se revela que es un enlace a un subdominio que contiene el nombre de la empresa suplantada.
Al hacer clic en el botón de llamada a la acción, el objetivo es redirigido a una página de inicio intermedia que contiene la marca suplantada de Microsoft y un torniquete de Cloudflare, una herramienta de detección de bots sin CAPTCHA. Esto garantiza que solo usuarios reales, y no herramientas de seguridad automatizadas básicas, puedan acceder al sitio.
Si el destinatario completa la prueba de verificación, se le redirige a una página de phishing (https://abnormal.ai/blog/adobe-acrobat-sign-impersonators-customized-phishing-pages) camuflada como un portal de inicio de sesión de Microsoft SharePoint. El diseño presenta una ventana de inicio de sesión de estilo modal sobre un fondo difuminado, lo que indica que el resto del sitio es inaccesible hasta que se introduzcan las credenciales e imita los patrones de la interfaz de usuario de Microsoft. Si bien la marca en el fondo está ligeramente desactualizada, la experiencia general contribuye a la autenticidad.
Ingresar una dirección de correo electrónico y hacer clic en "Siguiente" redirige al objetivo a un segundo portal de inicio de sesión fraudulento donde se le solicita que introduzca su contraseña.
Si se proporcionan credenciales no coincidentes, se genera un error de "Contraseña incorrecta", lo que indica que los atacantes utilizan algún tipo de adversario intermediario (AiTM) para validar las credenciales en tiempo real.
¿Qué hace único a este ataque?
Esta campaña forma parte de una tendencia creciente de ataques de phishing de intercambio de archivos o ataques "living-off-trusted-sites" (LOTS), que explotan un servicio legítimo para alojar contenido malicioso. Al igual que ataques anteriores que utilizan Canva, Lucidchart y Figma, esta técnica ayuda a que el correo electrónico inicial parezca más creíble y a evadir las herramientas de seguridad tradicionales.
Los ataques de phishing de intercambio de archivos ya representan un enfoque avanzado para los intentos de robo de credenciales. Lo que distingue a esta campaña, incluso entre estos impresionantes ataques, son los ligeros ajustes a la fórmula que implementaron los actores de amenazas.
En primer lugar, Gamma es relativamente nuevo en el panorama, ya que se lanzó hace menos de cinco años. Las organizaciones se están familiarizando cada vez más con los ataques de phishing de intercambio de archivos en general, y algunas incluso podrían haber comenzado a incorporar ejemplos en sus cursos de concienciación sobre seguridad. Dicho esto, es muy probable que el porcentaje de empresas que han actualizado su formación en ciberseguridad para incluir este tipo de phishing sea bajo, y el número de las que utilizan ejemplos de ataques distintos a los que explotan marcas conocidas como Docusign y Dropbox es aún menor. Por lo tanto, este tipo de ataque podría no generar alarmas que fomenten un mayor nivel de escrutinio por parte de los empleados, como sí lo haría un ataque que explota Canva o Google Drive.
Además, en lugar de enviar el correo electrónico malicioso a través de la propia plataforma, los autores simplemente copian el enlace y lo incrustan en un mensaje enviado desde cuentas de correo electrónico comprometidas o falsificadas. Compartir a través del propio sistema de Gamma podría activar el análisis de contenido interno o la detección de abusos. Además, algunas herramientas de seguridad tratan los correos electrónicos compartidos automatizados de servicios desconocidos como sospechosos y los ponen en cuarentena automáticamente. Pero si un enlace de phishing se integra en un correo electrónico de aspecto normal, proveniente de uno que supera todas las comprobaciones de autenticación, es mucho más probable que llegue a la bandeja de entrada y sea confiable.
El uso de un Torniquete de Cloudflare también distingue a este ataque y tiene un doble propósito. En primer lugar, impide el rastreo automatizado de enlaces y el análisis de URL mediante herramientas de seguridad básicas. En segundo lugar, dado que Torniquete es un servicio legítimo asociado a Cloudflare (un conocido proveedor de infraestructura y seguridad web), su presencia aumenta la percepción de legitimidad, ya que los usuarios están acostumbrados a ver comprobaciones de seguridad antes de acceder a documentos confidenciales.
El factor final que contribuye a la relevancia de este ataque es el aparente uso de un marco de adversario en el intermediario (AiTM). En un ataque AiTM, el atacante se posiciona entre la víctima y el servidor de autenticación legítimo, actuando como un proxy invisible. Esta configuración le permite retransmitir las credenciales proporcionadas al portal de inicio de sesión real de Microsoft y capturar las respuestas.
Al ejecutar un ataque AiTM, los ciberdelincuentes pueden validar credenciales en tiempo real. Esto no solo confirma la exactitud de las credenciales robadas, sino que también permite al atacante capturar cookies de sesión. Con estas cookies, el atacante puede evita la autenticación multifactor (MFA) y obtener acceso total y no autorizado a la cuenta del objetivo como si fuera el usuario real.
¿Por qué es difícil detectar este ataque?
Este flujo de ataque está diseñado específicamente para evadir tanto las herramientas de seguridad tradicionales como la intuición humana.
Una de las principales razones por las que este ataque es tan difícil de detectar es que se origina en una cuenta de correo electrónico legítima y comprometida. Dado que el dominio del remitente es auténtico, el mensaje supera las comprobaciones de autenticación estándar como SPF, DKIM y DMARC, lo que le permite evadir los filtros de seguridad basados en la reputación del remitente.
A partir de ahí, el ataque aprovecha Gamma, una plataforma de presentación basada en IA de amplia reputación y uso generalizado. Es menos probable que los sistemas de seguridad detecten el contenido alojado en Gamma, ya que el dominio no tiene historial de actividad maliciosa. Y dado que el contenido no contiene malware manifiesto ni infraestructura de phishing conocida, resulta inocuo tanto para las herramientas automatizadas como para los destinatarios humanos.
El flujo de phishing también está inteligentemente estratificado. En lugar de enlazar directamente a una página de recolección de credenciales, los atacantes redirigen al usuario a través de varios pasos intermedios: primero a la presentación alojada en Gamma, luego a una página de inicio protegida por Cloudflare Turnstile y, finalmente, a una página de inicio de sesión de Microsoft falsificada. Esta redirección multietapa oculta el destino real y dificulta que las herramientas de análisis de enlaces estáticos rastreen la ruta de ataque.
El uso de Cloudflare Turnstile complica aún más la detección. Como herramienta de mitigación de bots sin CAPTCHA, Turnstile impide que los rastreadores básicos y los escáneres automatizados lleguen a la página de phishing final. Esto permite que el sitio malicioso permanezca accesible para los usuarios humanos, pero invisible para la mayoría de las defensas automatizadas.
Defensa contra ataques de phishing aprovechando plataformas de confianza
Al incrustar contenido malicioso en una plataforma legítima, suplantar la identidad de marcas de confianza y explotar el comportamiento humano, los atacantes crean flujos de phishing que evaden incluso a los usuarios más vigilantes y a las herramientas de seguridad tradicionales.
Detener estos ataques requiere más que defensas tradicionales. Las organizaciones ya no pueden depender de indicadores estáticos como la reputación del dominio, las URL de phishing conocidas o los filtros basados en reglas. En cambio, una protección eficaz depende de comprender el contexto: qué es normal para sus empleados, sus proveedores y su organización en su conjunto.
Abnormal adopta un enfoque fundamentalmente diferente para la seguridad del correo electrónico, basado en la IA conductual. Al analizar miles de señales para establecer una línea base de comportamiento conocido, Abnormal puede detectar incluso desviaciones sutiles que indican un ataque, identificando y remediando intentos avanzados de phishing antes de que los usuarios tengan la oportunidad de participar.
A medida que las tácticas de phishing continúan evolucionando, solo las soluciones nativas de IA como Abnormal pueden adelantarse a los atacantes, comprendiendo a las personas, no solo los patrones.