Incidents associés
Les plateformes de génération de contenu basées sur l'IA transforment notre façon de travailler et la manière dont les pirates lancent leurs attaques.
Dans cette campagne récemment découverte, des attaquants utilisent Gamma, un outil de présentation relativement récent basé sur l'IA, pour diffuser un lien vers un portail de connexion Microsoft SharePoint frauduleux. Tirant parti du fait que les employés ne connaissent pas forcément la plateforme (et ne sont donc pas conscients de son potentiel d'exploitation), les pirates créent un flux d'hameçonnage si sophistiqué qu'il semble légitime à chaque étape.
Cette attaque astucieuse en plusieurs étapes montre comment les pirates informatiques exploitent aujourd'hui les angles morts créés par des outils moins connus pour contourner la détection, tromper les destinataires peu méfiants et compromettre les comptes.
Décryptage de l'attaque d'hameçonnage Gamma
La première étape consiste à envoyer un e-mail apparemment inoffensif. Dans l'exemple analysé dans cet article, l'e-mail malveillant est envoyé depuis un compte de messagerie légitime et compromis (https://abnormal.ai/blog/how-abnormal-detected-and-stopped-complex-account-compromise) appartenant au fondateur d'une école spécialisée.
L'e-mail contient un message bref et générique invitant à consulter la pièce jointe. Nos recherches ont révélé que les noms de fichiers incluent généralement le nom de l'entreprise usurpée. Nous avons également constaté que le document référencé est toujours formaté pour apparaître comme une pièce jointe PDF, alors qu'il s'agit en réalité d'un simple lien hypertexte.
Si le destinataire clique sur le prétendu PDF, il est redirigé vers une présentation hébergée sur Gamma, un outil de création de présentations en ligne basé sur l'IA.
La présentation présente le logo de l'organisation usurpée, un message conçu pour apparaître comme une notification concernant le fichier partagé et un bouton d'appel à l'action bien visible, généralement intitulé « Afficher le PDF » ou « Consulter les documents sécurisés ». Survoler l'appel à l'action révèle un lien vers un sous-domaine contenant le nom de l'entreprise usurpée.
En cliquant sur l'appel à l'action, la cible est redirigée vers une page d'accueil intermédiaire contenant une image de marque Microsoft usurpée et un outil Cloudflare Turnstile, un outil de détection de robots sans CAPTCHA. Cela garantissait que seuls les utilisateurs réels, et non les outils de sécurité automatisés de base, pouvaient accéder au site.
Si le destinataire réussit le test de vérification, il est redirigé vers une page d'hameçonnage (https://abnormal.ai/blog/adobe-acrobat-sign-impersonators-customized-phishing-pages) déguisée en portail de connexion Microsoft SharePoint. L'interface présente une fenêtre de connexion de type modal sur un arrière-plan flou, indiquant que le reste du site est inaccessible tant que les identifiants n'ont pas été saisis, et imitant les modèles d'interface utilisateur de Microsoft. Bien que l'image de marque du contenu d'arrière-plan soit légèrement obsolète, l'expérience globale contribue à un semblant d'authenticité.
Saisir une adresse e-mail et cliquer sur « Suivant » redirige la cible vers un second portail de connexion frauduleux, l'invitant à saisir son mot de passe.
Si des identifiants incorrects sont fournis, une erreur « Mot de passe incorrect » se déclenche, indiquant que les auteurs utilisent une sorte d'adversaire du milieu (AiTM) pour valider les identifiants en temps réel.
Ce qui rend cette attaque unique
Cette campagne s'inscrit dans une tendance croissante d'attaques de phishing par partage de fichiers ou attaques LOTS (living-off-trusted-sites), qui exploitent un service légitime pour héberger du contenu malveillant. À l'instar des attaques précédentes utilisant Canva, Lucidchart et Figma, cette technique permet de rendre l'e-mail initial plus crédible et d'échapper aux outils de sécurité traditionnels.
Les attaques de phishing par partage de fichiers représentent déjà une approche sophistiquée des tentatives de vol d'identifiants. Ce qui distingue cette campagne, même parmi ces attaques impressionnantes, réside dans les légères modifications apportées à la formule par les acteurs malveillants.
Tout d'abord, Gamma est relativement nouveau sur le marché, ayant été lancé il y a moins de cinq ans. Les organisations se familiarisent de plus en plus avec les attaques de phishing par partage de fichiers en général, et certaines ont même commencé à intégrer des exemples dans leurs formations de sensibilisation à la sécurité. Cela étant dit, il est fort probable que le pourcentage d'entreprises ayant mis à jour leur formation en cybersécurité pour inclure ce type d'hameçonnage soit faible, et que le nombre d'entreprises utilisant des exemples d'attaques autres que celles exploitant des marques connues comme Docusign et Dropbox soit encore plus faible. Ainsi, ce type d'attaque ne déclenche pas forcément d'alertes incitant les employés à une surveillance accrue, contrairement à une attaque exploitant Canva ou Google Drive.
De plus, plutôt que d'envoyer l'e-mail malveillant via la plateforme elle-même, les auteurs copient simplement le lien et l'intègrent à un message envoyé depuis des comptes de messagerie compromis ou usurpés. Le partage via le système de Gamma pourrait déclencher une analyse de contenu interne ou une détection d'abus. De plus, certains outils de sécurité traitent les e-mails partagés automatiquement provenant de services inconnus comme suspects et les mettent automatiquement en quarantaine. En revanche, si un lien d'hameçonnage est intégré à un e-mail d'apparence normale, provenant d'un e-mail ayant passé tous les contrôles d'authentification, il a beaucoup plus de chances d'atteindre la boîte de réception et d'être approuvé.
L'utilisation d'un tourniquet Cloudflare rend cette attaque unique et présente un double objectif. Premièrement, elle empêche l'exploration automatisée des liens et l'analyse des URL par les outils de sécurité de base. Deuxièmement, Turnstile étant un service légitime associé à Cloudflare, fournisseur réputé d'infrastructures et de sécurité web, sa présence renforce la légitimité perçue, les utilisateurs étant habitués à voir les contrôles de sécurité avant d'accéder à des documents sensibles.
Le dernier facteur qui rend cette attaque si remarquable est l'utilisation apparente d'un système d'attaque par adversaire du milieu (AiTM). Dans une attaque AiTM, l'attaquant se positionne entre la victime et le serveur d'authentification légitime, agissant comme un proxy invisible. Cette configuration lui permet de relayer les identifiants fournis au véritable portail de connexion de Microsoft et de capturer les réponses.
En exécutant une attaque AiTM, les cybercriminels peuvent valider les identifiants en temps réel. Cela permet non seulement de confirmer l'exactitude des identifiants volés, mais aussi de capturer les cookies de session. Grâce à ces cookies, l'attaquant peut contourner l'authentification multifacteur (MFA) et obtenir un accès complet et non autorisé au compte de la cible comme s'il s'agissait de l'utilisateur réel.
Pourquoi cette attaque est-elle difficile à détecter ?
Ce flux d'attaque est conçu spécifiquement pour échapper aux outils de sécurité traditionnels et à l'intuition humaine.
L'une des principales raisons pour lesquelles cette attaque est si difficile à détecter est qu'elle provient d'un compte de messagerie légitime et compromis. Le domaine de l'expéditeur étant authentique, le message passe les contrôles d'authentification standard tels que SPF, DKIM et DMARC, ce qui lui permet de contourner les filtres de sécurité basés sur la réputation de l'expéditeur.
L'attaque s'appuie ensuite sur Gamma, une plateforme de présentation basée sur l'IA réputée et largement utilisée. Les systèmes de sécurité sont moins susceptibles de signaler le contenu hébergé sur Gamma, car le domaine n'a aucun historique d'activité malveillante. De plus, comme le contenu ne contient aucun logiciel malveillant manifeste ni infrastructure de phishing connue, il semble inoffensif, tant pour les outils automatisés que pour les destinataires humains.
Le flux de phishing est également intelligemment hiérarchisé. Plutôt que de créer un lien direct vers une page de collecte d'identifiants, les attaquants redirigent l'utilisateur vers plusieurs étapes intermédiaires : d'abord vers la présentation hébergée par Gamma, puis vers une page d'accueil protégée par Cloudflare Turnstile, et enfin vers une fausse page de connexion Microsoft. Cette redirection en plusieurs étapes masque la véritable destination et complique la tâche des outils d'analyse de liens statiques pour retracer le chemin d'attaque.
L'utilisation de Cloudflare Turnstile complique encore davantage la détection. Outil de lutte contre les robots sans CAPTCHA, Turnstile empêche les robots d'exploration et les scanners automatisés d'atteindre la page de phishing finale. Le site malveillant reste ainsi accessible aux utilisateurs humains, mais invisible pour la plupart des défenses automatisées.
Se défendre contre les attaques de phishing grâce aux plateformes de confiance
En intégrant du contenu malveillant à une plateforme légitime, en usurpant l'identité de marques de confiance et en exploitant le comportement humain, les attaquants créent des flux de phishing qui échappent même aux utilisateurs les plus vigilants et aux outils de sécurité traditionnels.
Pour stopper ces attaques, il faut plus que des défenses traditionnelles. Les organisations ne peuvent plus se fier à des indicateurs statiques comme la réputation du domaine, les URL de phishing connues ou les filtres basés sur des règles. Une protection efficace repose désormais sur la compréhension du contexte : ce qui est normal pour vos employés, vos fournisseurs et votre organisation dans son ensemble.
Abnormal adopte une approche fondamentalement différente de la sécurité des e-mails, fondée sur l'IA comportementale. En analysant des milliers de signaux pour établir une base de référence des comportements reconnus comme fiables, Abnormal peut détecter même les écarts les plus subtils qui signalent une attaque, identifiant et corrigeant les tentatives de phishing avancées avant même que les utilisateurs n'aient la possibilité de s'engager.
Alors que les tactiques de phishing continuent d'évoluer, seules les solutions natives d'IA comme Abnormal peuvent garder une longueur d'avance sur les attaquants, en comprenant les individus, et pas seulement les schémas.