Problème 5211

Incidents associés

Incident 10687 Rapports
AI-Powered Presentation Tool Gamma Implicated in Multi-Stage Phishing Campaign

Loading...
Des pirates informatiques utilisent l'outil Gamma via Cloudflare Turntile pour voler des identifiants Microsoft
gbhackers.com · 2025

Les cybercriminels exploitent Gamma, un outil de présentation basé sur l'IA, pour lancer une attaque en plusieurs étapes visant à voler des identifiants Microsoft.

Cette attaque vise non seulement à contourner les mesures de sécurité traditionnelles, mais aussi à tromper les destinataires humains en exploitant des plateformes et services de confiance.

Exploitation de Gamma et de Cloudflare Turnstile

Les cybercriminels exploitent Gamma, une plateforme de création de présentations moins connue mais de plus en plus utilisée, pour héberger du contenu malveillant.

Voici le déroulement de l'attaque :

  • Contact initial : La campagne commence par un e-mail provenant d'un compte légitime compromis, invitant le destinataire à consulter un document. L'objet et le message sont génériques, indiquant souvent quelque chose comme « Voir le fichier joint ». Cependant, le « document joint » est en réalité un lien hypertexte menant à une présentation hébergée par Gamma.
  • Présentation Gamma : En cliquant sur le lien, l'utilisateur est redirigé vers une présentation Gamma comportant le logo de l'organisation et un bouton d'appel à l'action (CTA) intitulé « Afficher le PDF » ou similaire. Ce CTA redirige l'utilisateur vers un chemin manipulateur.
  • Page d'accueil intermédiaire : L'étape suivante implique une page d'accueil à l'effigie de Microsoft et un Cloudflare Turnstile, un détecteur de robots sans CAPTCHA. Cette étape est cruciale car elle garantit que seuls les utilisateurs réels peuvent accéder au site d'hameçonnage, contournant ainsi les outils de sécurité automatisés.
  • Fausse connexion Microsoft : En franchissant le Turnstile, l'utilisateur est confronté à une page d'hameçonnage soigneusement conçue imitant la connexion SharePoint de Microsoft. Ici, les victimes sont invitées à saisir leurs identifiants, qui sont ensuite validés en temps réel via un framework d'adversaire du milieu (AiTM), ce qui renforce la sophistication de l'attaque.

Pourquoi cette attaque se démarque

Cette campagne de phishing est remarquable pour plusieurs raisons :

  • Nouveauté de Gamma : Étant relativement récent, Gamma n'est pas aussi largement reconnu, ce qui réduit le risque de suspicion des utilisateurs.

  • Courriel indirect : Les attaquants n'envoient pas d'e-mails directement via Gamma, mais intègrent des liens malveillants dans les e-mails provenant de comptes compromis afin de contourner l'analyse ou la détection de contenu.

  • Cloudflare Turnstile : Ce service ajoute une couche de légitimité, rendant le site de phishing plus difficile à détecter par les systèmes automatisés.

L'utilisation d'un framework AiTM par les attaquants est particulièrement alarmante. Cette configuration leur permet non seulement de collecter des identifiants, mais aussi de capturer des cookies de session, permettant ainsi aux attaquants de contourner l'authentification multifacteur (MFA) et d'accéder sans autorisation au compte de la victime.

L'approche multicouche de cette attaque, qui commence par un expéditeur légitime, puis passe par un service fiable comme Gamma, puis par un outil de sécurité fiable et enfin par une fausse connexion convaincante, la rend difficile à détecter :

  • Authentification de l'e-mail : L'e-mail passe les contrôles d'authentification standard et semble provenir d'une source légitime.
  • Redirection multi-étapes : Le chemin d'attaque est obscurci par plusieurs redirections, ce qui rend l'analyse des liens statiques moins efficace.

Selon le Rapport, cette campagne souligne l'importance d'aller au-delà de la sécurité traditionnelle des e-mails basée sur des règles.

L'IA et l'analyse comportementale deviennent essentielles pour identifier et stopper ces tentatives d'hameçonnage nuancées.

Lire la source