Incidents associés
Les cybercriminels exploitent Gamma AI, une plateforme de création de présentations, de sites web et de documents, pour créer des redirecteurs de pages de phishing sophistiqués et difficiles à détecter.
Ces acteurs malveillants exploitent les fonctionnalités avancées de Gamma pour héberger des pages de redirection de phishing directement sur le domaine légitime gamma.app, suscitant des inquiétudes quant à l'utilisation abusive d'outils d'IA dans les cyberattaques.
Le stratagème de phishing commence par un lien hébergé sur le domaine de Gamma (par exemple, « hxxps://gamma[.]app/docs/... »). Lorsqu'un utilisateur clique dessus, il est redirigé vers une série de pages intermédiaires.
Le processus imite les flux de travail légitimes en intégrant des vérifications de type CAPTCHA, telles que Cloudflare Turnstile ou des mécanismes similaires.
Selon Ankit Anubhav, cette tactique confère non seulement une apparence de légitimité, mais permet également de contourner les scanners de sécurité automatisés susceptibles de signaler des activités suspectes.
Une fois le CAPTCHA résolu, les utilisateurs sont soit redirigés vers un site web authentique comme Wikipédia (en mode sandbox), soit redirigés vers une page de phishing pleinement opérationnelle hébergée sur un autre système.
Ces pages de phishing sont conçues pour voler des informations sensibles, telles que des identifiants de connexion ou des données financières. En hébergeant le redirecteur initial sur le domaine de Gamma, les attaquants exploitent la confiance associée à la plateforme, ce qui complique l'identification et le blocage de ces menaces par les fournisseurs de sécurité.
Pourquoi Gamma AI est exploité
Gamma AI propose des outils permettant de créer des sites web et des présentations soignés sans compétences en codage. Sa capacité à cloner des sites web en important du contenu à partir d'URL la rend particulièrement attractive pour les acteurs malveillants.
Cette fonctionnalité permet aux attaquants de répliquer des sites web apparemment légitimes avec un minimum d'effort, et de les utiliser ensuite dans le cadre de leurs campagnes de phishing.
De plus, le domaine légitime de Gamma et ses pratiques de chiffrement robustes en font une plateforme idéale pour héberger des redirecteurs. Les systèmes de sécurité mettent souvent sur liste blanche des domaines de confiance comme gamma.app, permettant ainsi à ces liens malveillants de passer inaperçus.
L'utilisation de plateformes basées sur l'IA comme Gamma dans les campagnes de phishing met en évidence la sophistication croissante des cybermenaces. En combinant des domaines de confiance à des techniques de redirection avancées, les attaquants trouvent de nouvelles façons d'échapper à la détection.
Cette tendance reflète d'autres campagnes de phishing récentes qui ont exploité des services comme Cloudflare R2 et les liens d'attribution YouTube pour diffuser du contenu malveillant.
L'intégration de systèmes CAPTCHA complexifie encore davantage les efforts de détection en empêchant les scanners automatisés d'analyser la destination finale du phishing. Cette approche garantit que seules les victimes humaines accèdent aux pages malveillantes, tandis que les outils de sécurité restent aveugles à la chaîne d'attaque.
Que faire ?
Pour atténuer ces risques, les experts en cybersécurité recommandent :
- Surveillance renforcée des domaines : Les fournisseurs doivent surveiller attentivement les domaines de confiance comme gamma.app pour détecter tout signe d’abus.
- Détection des menaces basée sur l’IA : L’utilisation d’outils basés sur l’IA peut aider à identifier des schémas inhabituels dans l’utilisation des plateformes de confiance.
- Formation des utilisateurs : Il est crucial de sensibiliser les utilisateurs aux tactiques d’hameçonnage (phishing) impliquant des pages intermédiaires et des CAPTCHA.
L’utilisation abusive de l’IA Gamma souligne le caractère à double tranchant des avancées technologiques. Si des plateformes comme Gamma offrent aux utilisateurs des outils innovants, elles permettent également aux cybercriminels de les exploiter.
À mesure que les tactiques d’hameçonnage évoluent, une approche proactive combinant technologie et sensibilisation sera essentielle pour anticiper ces menaces.