Incidents associés
Un outil de présentation basé sur l'IA, Gamma, est utilisé dans des attaques de phishing pour tromper les cibles et leur faire croire qu'un e-mail est légitime.
C'est ce qu'affirment les chercheurs d'Abnormal Security, fournisseur de sécurité informatique, qui ont publié aujourd'hui une étude consacrée à Gamma et à la manière dont les acteurs malveillants l'utilisent abusivement pour atteindre leurs cibles dans le cadre d'une nouvelle campagne. Gamma est un outil de conception graphique par ailleurs légitime utilisé par les clients pour générer des présentations avec des modèles d'IA génératifs, mais les chercheurs d'Abnormal ont détaillé comment Gamma peut être utilisé pour fournir un lien vers un faux portail Microsoft.
« Cette attaque astucieuse en plusieurs étapes montre comment les acteurs malveillants actuels exploitent les angles morts créés par des outils moins connus pour contourner la détection, tromper les destinataires sans méfiance et compromettre les comptes », peut-on lire dans le billet de blog de recherche [https://abnormalsecurity.com/blog/multi-stage-phishing-attack-gamma-presentation].
Exploiter Gamma pour les attaques de phishing
Dans un exemple d'attaque partagé dans l'article de blog, un acteur malveillant a envoyé un e-mail à une cible via une adresse e-mail légitime mais volée. L'e-mail contenait un bref message invitant à consulter un PDF en pièce jointe.
Cliquer sur la « pièce jointe » (l'image d'un PDF intégré à l'e-mail) redirigeait vers une présentation Gamma sur une page web Gamma légitime, contenant un lien permettant de consulter le « document PDF finalisé ».
« La présentation présente le logo de l'organisation usurpée, un message destiné à être affiché comme une notification concernant le fichier partagé et un bouton d'appel à l'action bien visible, généralement intitulé « Voir le PDF » ou « Consulter les documents sécurisés », selon les recherches d'Abormal. « Le survol de l'appel à l'action révèle un lien vers un sous-domaine contenant le nom de l'entreprise usurpée. »
Lorsque la cible clique sur le deuxième appel à l'action de la page Gamma, elle est redirigée vers une page de transition affichant un logo Microsoft frauduleux et un outil de détection de bots Cloudflare. Si elle effectue la vérification Cloudflare, elle accède à une page de connexion Microsoft SharePoint, fausse mais convaincante, destinée à récupérer les identifiants de la cible.
Il est intéressant de noter que la campagne utilise une technique d'adversaire du milieu (AiTM) Abnormal précédemment détaillée dans laquelle la fausse page de connexion Microsoft vérifie apparemment les identifiants en temps réel et indique si ceux-ci sont incorrects.
Abnormal a qualifié la pratique des acteurs malveillants utilisant des sites légitimes pour héberger du contenu malveillant d'attaques « living-off-trusted-sites » (LOTS). Il s'agit du dernier exemple en date d'attaques par hameçonnage qui intensifient leurs efforts de manière notable.
Dark Reading a demandé à Piotr Wojtyla, responsable du renseignement sur les menaces et de la plateforme chez Abnormal, si l'utilisation d'outils de vérification des identifiants en temps réel et de vérification des robots était particulièrement utile comme outil d'ingénierie sociale pour rassurer une cible. « Absolument », répond-il.
« Si l'objectif principal des attaques AiTM est de capturer les jetons et les sessions MFA afin d'obtenir un accès non autorisé au compte de la cible, instaurer la confiance et renforcer l'apparence de légitimité sont tout aussi importants », explique Wojtyla. Dans ce cas, l'attaquant utilise une présentation Gamma, un faux authentificateur sans captcha et un écran de connexion usurpé convaincant pour recréer un flux qui reflète exactement ce que la cible s'attend à voir. Cela permet d'établir la confiance, de réduire les frictions et d'éviter de déclencher des signaux d'alarme.
Que faire ?
Pour une organisation souhaitant se protéger contre cette attaque, les bonnes pratiques habituelles en matière de phishing (https://www.techtarget.com/searchsecurity/definition/phishing) restent applicables. L'exemple fourni par Abnormal incluait, de la part de l'auteur de la menace, des appels à l'action génériques, des URL inappropriées pour une page de connexion SharePoint et des erreurs grammaticales.
Cependant, comme l'a souligné Abnormal dans son étude, cette campagne est plus difficile à détecter qu'une campagne de phishing classique, car elle provenait d'une adresse e-mail légitime (bien qu'utilisée à mauvais escient) et utilisait un produit légitime.
Du côté de Gamma, Wojtyla explique que face à la multiplication des attaques de phishing, les fournisseurs de plateformes cloud permettant à tous d'utiliser leurs outils « doivent mettre en place des systèmes et des processus pour détecter les utilisations malveillantes et bloquer l'accès au contenu ».
« Cela comprend l'analyse et l'analyse automatisées du contenu, la détection des liens de phishing, l'exploitation des flux d'informations sur les menaces, l'analyse des rapports des utilisateurs finaux et le suivi comportemental », a-t-il précisé. « Les fournisseurs peuvent également ajouter des bannières d'avertissement qui avertissent les utilisateurs lorsqu'ils sont redirigés vers un site externe à Gamma. »
Dark Reading a contacté Gamma par e-mail pour obtenir des commentaires supplémentaires, mais l'entreprise n'avait pas répondu au moment de la mise sous presse.