Incidents associés
Les acteurs malveillants exploitent une plateforme de présentation basée sur l'intelligence artificielle (IA) nommée Gamma dans des attaques de phishing afin de rediriger les utilisateurs peu méfiants vers de fausses pages de connexion Microsoft.
« Les attaquants utilisent Gamma, un outil de présentation relativement récent basé sur l'IA, pour diffuser un lien vers un portail de connexion Microsoft SharePoint frauduleux », ont déclaré Callie Hinman Baron et Piotr Wojtyla, chercheurs chez Abnormal Security, dans une analyse mardi.
La chaîne d'attaque commence par un e-mail de phishing, parfois envoyé depuis des comptes de messagerie légitimes et compromis, pour inciter les destinataires à ouvrir un document PDF intégré.
En réalité, la pièce jointe PDF n'est rien d'autre qu'un hyperlien qui, lorsqu'on clique dessus, redirige la victime vers une présentation hébergée sur Gamma et l'invite à cliquer sur un bouton « Consulter les documents sécurisés ».
L'utilisateur est alors redirigé vers une page intermédiaire se faisant passer pour Microsoft et lui demandant d'effectuer une vérification Cloudflare Turnstile avant d'accéder au document supposé. Cette barrière CAPTCHA renforce la légitimité de l'attaque et empêche l'analyse automatisée des URL par les outils de sécurité.
Les cibles sont ensuite redirigées vers une page de phishing se faisant passer pour un portail de connexion Microsoft SharePoint et visant à collecter leurs identifiants.
« Si des identifiants incompatibles sont fournis, cela déclenche une erreur de mot de passe incorrect, indiquant que les auteurs utilisent une sorte d'adversaire du milieu (AiTM) pour valider les identifiants en temps réel », ont noté les chercheurs.
Ces résultats s'inscrivent dans une tendance actuelle d'attaques par phishing qui exploitent des services légitimes pour diffuser du contenu malveillant et contourner les contrôles d'authentification des e-mails tels que SPF, DKIM et DMARC, une technique appelée living-off-trusted-sites (LOTS).
« Cette attaque astucieuse en plusieurs étapes montre comment les acteurs malveillants actuels exploitent les angles morts créés par des outils moins connus pour contourner la détection, tromper des destinataires peu méfiants et compromettre des comptes », ont déclaré les chercheurs.
« Plutôt que de créer un lien direct vers une page de collecte d'identifiants, les attaquants redirigent l'utilisateur vers plusieurs étapes intermédiaires : d'abord vers la présentation hébergée par Gamma, puis vers une page d'accueil protégée par un tourniquet Cloudflare, et enfin vers une page de connexion Microsoft usurpée. Cette redirection en plusieurs étapes masque la véritable destination et complique la tâche des outils d'analyse de liens statiques pour retracer le chemin de l'attaque. »
Cette révélation intervient alors que Microsoft, dans son dernier rapport Cyber Signals, a mis en garde contre une augmentation des attaques frauduleuses pilotées par l'IA pour générer du contenu crédible et attaquer à grande échelle en utilisant des deepfakes, le clonage vocal, des e-mails de phishing, des faux sites web d'apparence authentique et de fausses offres d'emploi.
« Les outils d'IA peuvent analyser et analyser le Web à la recherche d'informations sur l'entreprise, permettant ainsi aux attaquants de créer des profils détaillés d'employés ou d'autres cibles afin de créer des leurres d'ingénierie sociale très convaincants », a déclaré l'entreprise.
« Dans certains cas, des acteurs malveillants entraînent leurs victimes dans des fraudes de plus en plus complexes en utilisant de faux avis produits et des vitrines générées par l'IA. Les escrocs créent alors des sites web et des marques e-commerce complets, avec de faux historiques d'activité et de faux témoignages clients. »
Microsoft a également déclaré avoir pris des mesures contre les attaques orchestrées par Storm-1811 (alias STAC5777), qui a abusé du logiciel Microsoft Quick Assist en se faisant passer pour un support informatique via des tentatives de phishing vocal menées via Teams et en persuadant les victimes de leur accorder un accès à distance à leurs appareils pour le déploiement ultérieur du rançongiciel.
Cela étant dit, des éléments suggèrent que le groupe de cybercriminels à l'origine de la campagne de vishing de Teams pourrait changer de tactique. Selon un nouveau rapport de ReliaQuest, les attaquants ont été observés en train d'employer une méthode de persistance non signalée auparavant, utilisant le détournement de COM TypeLib et une nouvelle porte dérobée PowerShell pour échapper à la détection et conserver l'accès aux systèmes compromis.
L'acteur malveillant aurait développé des versions du malware PowerShell depuis janvier 2025, déployant les premières itérations via des publicités Bing malveillantes. L'activité, détectée deux mois plus tard, ciblait des clients des secteurs de la finance et des services professionnels, scientifiques et techniques, ciblant plus particulièrement les cadres supérieurs portant des noms à consonance féminine.
Les changements intervenus dans les dernières phases du cycle d'attaque ont soulevé la possibilité que Storm-1811 évolue avec de nouvelles méthodes, soit l'œuvre d'un groupe dissident, ou encore qu'un acteur malveillant totalement différent ait adopté les mêmes techniques d'accès initiales qui lui étaient exclusives.
« Les conversations d'hameçonnage ont été minutieusement programmées, se déroulant entre 14 h et 15 h, parfaitement synchronisées avec l'heure locale des organisations destinataires et coïncidant avec une baisse d'activité l'après-midi, où les employés peuvent être moins vigilants pour détecter les activités malveillantes », a déclaré ReliaQuest (https://reliaquest.com/blog/threat-spotlight-hijacked-and-hidden-new-backdoor-and-persistence-technique/).
« Que cette campagne d'hameçonnage sur Microsoft Teams ait été menée ou non par Black Basta, il est clair que l'hameçonnage via Microsoft Teams est inéluctable. Les attaquants continuent de trouver des moyens astucieux de contourner les défenses et de rester au sein des organisations. »