Incidentes Asociados
Gamma, una herramienta relativamente nueva basada en IA software de presentaciones, está siendo utilizada de forma abusiva en ataques de phishing extremadamente convincentes que suplantan la identidad de SharePoint de Microsoft y buscan robar las credenciales de inicio de sesión de los usuarios.
Investigadores de ciberseguridad Abnormal detectaron los ataques en acción y describieron el flujo de phishing como "tan refinado que parece legítimo a cada paso".
El ataque comienza con un correo electrónico de phishing genérico y directo, enviado desde una cuenta legítima, pero comprometida. Esto permite a los delincuentes eludir las comprobaciones de autenticación estándar como SPF, DKIM y DMARC, y enviar el correo electrónico directamente a la bandeja de entrada del objetivo.
Suplantación de identidad de SharePoint
El correo electrónico en sí no es nada fuera de lo común: incluye un archivo PDF adjunto que, en realidad, es solo un hipervínculo que lleva a una presentación alojada en Gamma, un creador de presentaciones en línea con inteligencia artificial.
La presentación incluye el logotipo de la organización suplantada y un mensaje como "Ver PDF" o "Revisar documentos seguros".
El mensaje tiene forma de hipervínculo y lleva a una página de inicio intermedia con la marca suplantada de Microsoft y un torniquete de Cloudflare. De esta forma, los delincuentes se aseguran de que personas reales, y no herramientas de seguridad automatizadas básicas, accedan al sitio.
Si la víctima hace clic en la llamada a la acción, se le redirige a una página de phishing que suplanta el portal de inicio de sesión de Microsoft SharePoint.
Aquí es donde se produce el robo real, ya que se invita a las víctimas a iniciar sesión con sus credenciales de Microsoft.
Al introducir las credenciales incorrectas, se produce un error, lo que lleva a los investigadores a concluir que los atacantes utilizan algún tipo de configuración de intermediario que les permite verificar las credenciales en tiempo real.
Abnormal afirma que el ataque es único, principalmente porque Gamma es relativamente nuevo en el sector, con solo unos años de experiencia.
Las organizaciones se están familiarizando cada vez más con los ataques de phishing de intercambio de archivos en general, y algunas incluso podrían haber comenzado a incorporar ejemplos en su formación en seguridad. Dicho esto, es muy probable que el porcentaje de empresas que han actualizado su formación en ciberseguridad para incluir este tipo de phishing sea bajo, y el número de las que utilizan ejemplos de ataques distintos a los que explotan marcas conocidas como DocuSign y Dropbox sea aún menor, afirmaron los investigadores.
Por lo tanto, es posible que este tipo de ataque no active las alarmas que fomenten un mayor nivel de escrutinio por parte de los empleados, como podría hacerlo un ataque que explota Canva o Google Drive.