Incidentes Asociados
Los actores de amenazas están utilizando una plataforma de presentación basada en inteligencia artificial (IA) llamada Gamma en ataques de phishing para dirigir a usuarios desprevenidos a páginas de inicio de sesión de Microsoft falsificadas.
"Los atacantes utilizan Gamma, una herramienta de presentación relativamente nueva basada en IA, como arma para enviar un enlace a un portal de inicio de sesión fraudulento de Microsoft SharePoint", afirmaron los investigadores de Abnormal Security, Callie Hinman Baron y Piotr Wojtyla https://abnormal.ai/blog/multi-stage-phishing-attack-gamma-presentation en un análisis publicado el martes.
La cadena de ataque comienza con un correo electrónico de phishing, en algunos casos enviado desde cuentas de correo electrónico legítimas y comprometidas, para incitar a los destinatarios a abrir un documento PDF incrustado.
En realidad, el PDF adjunto no es más que un hipervínculo que, al hacer clic, redirige a la víctima a una presentación alojada en Gamma que le solicita que haga clic en un botón para "Revisar documentos seguros".
Al hacerlo, el usuario es redirigido a una página intermedia que suplanta la identidad de Microsoft y le indica que complete un paso de verificación de Cloudflare Turnstile antes de acceder al supuesto documento. Esta barrera CAPTCHA aumenta la legitimidad del ataque e impide el análisis automatizado de URL por parte de las herramientas de seguridad.
Las víctimas son redirigidas a una página de phishing que se hace pasar por un portal de inicio de sesión de Microsoft SharePoint y cuyo objetivo es recopilar sus credenciales.
"Si se proporcionan credenciales no coincidentes, se genera un error de 'Contraseña incorrecta', lo que indica que los atacantes están utilizando algún tipo de adversary-in-the-middle (AiTM) para validar las credenciales en tiempo real", señalaron los investigadores. Los hallazgos forman parte de una tendencia continua de ataques de phishing que explotan servicios legítimos para simular contenido malicioso y eludir las comprobaciones de autenticación de correo electrónico como SPF, DKIM y DMARC, una técnica denominada "living-off-trusted-sites" (LOTS).
"Este ingenioso ataque multietapa muestra cómo los actores de amenazas actuales se aprovechan de los puntos ciegos creados por herramientas menos conocidas para eludir la detección, engañar a destinatarios desprevenidos y comprometer cuentas", afirmaron los investigadores.
En lugar de enlazar directamente a una página de recolección de credenciales, los atacantes redirigen al usuario a través de varios pasos intermedios: primero a la presentación alojada en Gamma, luego a una página de inicio protegida por un torniquete de Cloudflare y, finalmente, a una página de inicio de sesión de Microsoft falsificada. Esta redirección multietapa oculta el destino real y dificulta que las herramientas de análisis de enlaces estáticos rastreen la ruta de ataque.
La revelación se produce después de que Microsoft, en su último informe de Cyber Signals, advirtiera sobre un aumento en los ataques de fraude basados en IA para generar contenido creíble para ataques a gran escala mediante deepfakes, clonación de voz, correos electrónicos de phishing, sitios web falsos que parecen auténticos y ofertas de empleo falsas.
Las herramientas de IA pueden escanear y extraer información de la web para obtener información de la empresa, lo que ayuda a los atacantes a crear perfiles detallados de empleados u otros objetivos para crear señuelos de ingeniería social muy convincentes, afirmó la compañía.
En algunos casos, actores maliciosos están atrayendo a las víctimas a esquemas de fraude cada vez más complejos utilizando reseñas de productos falsas mejoradas con IA y escaparates generados por IA. Allí, los estafadores crean sitios web completos y marcas de comercio electrónico, con historiales comerciales y testimonios de clientes falsos.
Microsoft también afirmó haber tomado medidas contra los ataques orquestados por Storm-1811 (también conocido como STAC5777), que ha abusado del software Microsoft Quick Assist haciéndose pasar por soporte de TI mediante esquemas de phishing de voz realizados a través de Teams y convenciendo a las víctimas de que les concedan acceso remoto a dispositivos para la posterior implementación de ransomware.
Dicho esto, existen pruebas que sugieren que el grupo de ciberdelincuentes detrás de la campaña de vishing de Teams podría estar cambiando de táctica. Según un nuevo informe de ReliaQuest, se ha observado que los atacantes emplean un método de persistencia no reportado previamente mediante el secuestro de TypeLib COM (https://cicada-8.medium.com/hijack-the-typelib-new-com-persistence-technique-32ae1d284661) y una nueva puerta trasera de PowerShell para evadir la detección y mantener el acceso a los sistemas comprometidos.
Se dice que el actor de amenazas ha estado desarrollando versiones del malware de PowerShell desde enero de 2025, implementando las primeras iteraciones mediante anuncios maliciosos de Bing. La actividad, detectada dos meses después, se dirigía a clientes de los sectores financiero y de servicios profesionales, científicos y técnicos, centrándose específicamente en empleados de nivel ejecutivo con nombres que parecían femeninos.
Los cambios en las últimas etapas del ciclo de ataque han planteado la posibilidad de que Storm-1811 esté evolucionando con nuevos métodos, sea obra de un grupo disidente o que un actor de amenazas completamente diferente haya adoptado las mismas técnicas de acceso iniciales que le eran exclusivas.
"Los chats de phishing se programaron cuidadosamente, llegando entre las 14:00 y las 15:00, perfectamente sincronizados con la hora local de las organizaciones receptoras y coincidiendo con un bajón de actividad por la tarde, en el que los empleados podrían estar menos alerta para detectar actividad maliciosa", declaró ReliaQuest (https://reliaquest.com/blog/threat-spotlight-hijacked-and-hidden-new-backdoor-and-persistence-technique/).
"Independientemente de si esta campaña de phishing de Microsoft Teams fue dirigida por Black Basta o no, es evidente que el phishing a través de Microsoft Teams no desaparecerá. Los atacantes siguen encontrando formas ingeniosas de eludir las defensas y permanecer dentro de las organizaciones".