Incidentes Asociados
Los ciberdelincuentes están explotando Gamma, una herramienta de presentación basada en IA, para lanzar un ataque multietapa destinado a robar credenciales de Microsoft.
Esta ruta de ataque está diseñada no solo para evadir las medidas de seguridad tradicionales (https://gbhackers.com/new-waiting-thread-hijacking-malware-technique/), sino también para engañar a los destinatarios humanos mediante el uso de plataformas y servicios de confianza.
Explotación de Gamma y Cloudflare Turnstile
Los ciberatacantes están aprovechando Gamma, una plataforma menos conocida pero cada vez más utilizada para crear presentaciones, para alojar contenido malicioso.
Así se desarrolla el ataque:
- Contacto inicial: La campaña comienza con un correo electrónico de una cuenta legítima y comprometida, que invita al destinatario a ver un documento. El asunto y el mensaje son genéricos, y suelen indicar algo como "Ver el archivo adjunto". Sin embargo, el "documento adjunto" es en realidad un hipervínculo que lleva a una presentación alojada en Gamma.
- Presentación Gamma: Al hacer clic en el enlace, el usuario desprevenido es redirigido a una presentación de Gamma con el logotipo de la organización y un botón de llamada a la acción (CTA) con la etiqueta "Ver PDF" o similar. Este CTA redirige al usuario a una ruta manipuladora.
- Página de bienvenida intermedia: El siguiente paso implica una página de bienvenida con la marca Microsoft y un torniquete de Cloudflare, un detector de bots sin CAPTCHA. Este paso es crucial, ya que garantiza que solo los usuarios reales puedan acceder al sitio de phishing, evadiendo las herramientas de seguridad automatizadas.
- Inicio de sesión falso de Microsoft: Al pasar por el torniquete, el usuario se encuentra con una página de phishing meticulosamente diseñada que imita el inicio de sesión de SharePoint de Microsoft. Aquí, se solicita a las víctimas que ingresen sus credenciales, las cuales se validan en tiempo real mediante un marco de Adversario en el Medio (AiTM), lo que aumenta la sofisticación del ataque.
¿Por qué este ataque destaca?
Esta campaña de phishing destaca por varias razones:
-
Novedad de Gamma: Al ser relativamente nueva, Gamma no es tan reconocida, lo que reduce la probabilidad de que los usuarios sospechen.
-
Correo electrónico indirecto: Los atacantes no envían correos electrónicos directamente a través de Gamma, sino que insertan enlaces maliciosos en correos electrónicos de cuentas comprometidas para evitar el escaneo o la detección de contenido.
-
Cloudflare Turnstile: Este servicio añade una capa de legitimidad, lo que dificulta la detección del sitio de phishing por parte de los sistemas automatizados.
El uso de un marco de AiTM por parte de los atacantes es particularmente alarmante. Esta configuración les permite no solo recopilar credenciales, sino también capturar cookies de sesión, lo que permite a los atacantes eludir la Autenticación Multifactor (MFA) y obtener acceso no autorizado a la cuenta de la víctima.
El enfoque en capas de este ataque, que comienza con un remitente legítimo, continúa con un servicio confiable como Gamma, luego con una herramienta de seguridad confiable y finalmente con un inicio de sesión falso convincente, dificulta su detección:
- Autenticación de correo electrónico: El correo electrónico supera las comprobaciones de autenticación estándar y parece provenir de una fuente legítima.
- Redirección multietapa: La ruta de ataque está ofuscada por múltiples redirecciones, lo que reduce la eficacia del análisis de enlaces estáticos.
Según el Informe, esta campaña subraya la importancia de ir más allá de la seguridad del correo electrónico tradicional basada en reglas.
La IA y el análisis del comportamiento son cruciales para identificar y detener estos intentos de phishing con matices.