Premium 0Канал в телеграммКанал в Дзен

Злоупотребление системой Gamma AI в мошенничестве с входом в учетную запись Microsoft

Дата публикации 3 недели назад
Время на прочтение 3 мин
Злоупотребление системой Gamma AI в мошенничестве с входом в учетную запись Microsoft
Киберпреступники использовали платформу искусственного интеллекта Gamma для проведения фишинговой атаки на пользователей Microsoft SharePoint. Кампания включала многоэтапное перенаправление с использованием PDF-файлов и фальшивых страниц входа. Microsoft предупреждает о росте числа атак с применением ИИ, таких как дипфейки и голосовая имитация. Злоумышленник под названием Storm-1811 перешел к использованию бэкдоров PowerShell и сложных методов социальной инженерии.

Ключевые выводы:

  1. Киберпреступники использовали платформу Gamma AI для размещения фишинговой цепи, ориентированной на пользователей Microsoft SharePoint
  2. Фишинговая кампания использовала многоступенчатый подход к перенаправлению, включая PDF-приманки, ворота CAPTCHA и поддельные страницы входа в систему
  3. Microsoft предупредила об увеличении атак на основе ИИ, включая deepfakes, олицетворение голоса и поддельные веб-сайты
  4. Угроза, идентифицированный как Storm-1811, перешел на использование бэкдоров PowerShell и сложной социальной инженерии

Новая фишинговая атака

В новой фишинговой кампании злоумышленники воспользовались платформой Gamma, основанной на искусственном интеллекте, чтобы имитировать страницы входа в Microsoft SharePoint и красть учетные данные пользователей.

Согласно исследователям из Abnormal Security, злоумышленники начали кампанию через фишинговые письма, которые часто отправлялись с взломанных легитимных почтовых аккаунтов. В письмах содержались встроенные PDF-документы, которые фактически были гиперссылками на презентации, размещенные на платформе Gamma.

Эти презентации отображали кнопку с надписью «Просмотреть защищённые документы», которая вела жертв через многоэтапную цепочку перенаправлений, скрывая истинное намерение фишингового сайта.

После нажатия кнопки в презентации пользователи перенаправлялись на страницу, стилизованную под сайт Microsoft, где их просили пройти проверку CAPTCHA от Cloudflare. Последним шагом было перенаправление на поддельную страницу входа в Microsoft SharePoint, где можно было украсть учетные данные.

«Злоумышленники используют платформу Gamma, относительно новый инструмент для презентаций на основе искусственного интеллекта, чтобы предоставить ссылку на фальшивую страницу входа в Microsoft SharePoint». — Хинман Барон и Пётр Войтыла, Abnormal Security.

Проверка учетных данных в реальном времени показывает стратегию "человек посередине"

Особенностью этой фишинговой кампании является использование техники "человек посередине" (Man-in-the-Middle, MitM) для проверки введенных учетных данных в режиме реального времени.

Если пользователь вводит неправильные данные для входа, фальшивая страница выводит сообщение об ошибке «Неверный пароль», что подтверждает, что злоумышленники динамически отслеживают введенную информацию.

«Если введены неверные учетные данные, появляется ошибка "Неверный пароль", что указывает на то, что злоумышленники используют технику "человек посередине" для проверки учетных данных в реальном времени». — Исследователи Abnormal Security.

Эта возможность повышает эффективность атаки, подтверждая украденные учетные данные до того, как они будут использованы злоумышленниками, а также усиливает иллюзию подлинности для пользователя.

Microsoft сообщает о росте количества фишинговых атак с использованием ИИ

Фишинговая кампания на базе платформы Gamma совпадает с более широкими тенденциями, описанными в недавнем отчете Microsoft Cyber Signals.

Компания предупреждает о росте числа атак с использованием искусственного интеллекта, включающих дипфейки, клонирование голоса и автоматизированные схемы фишинга. Эти методы все чаще используются для создания реалистичных уловок социальной инженерии в больших масштабах.

«Инструменты на основе ИИ могут сканировать и собирать информацию о компании в интернете, помогая злоумышленникам создавать подробные профили сотрудников или других целей для создания очень убедительных уловок социальной инженерии». — Отчет Microsoft Cyber Signals.

Эти тенденции указывают на тревожный сдвиг в сторону более персонализированных, реалистичных и трудно обнаруживаемых фишинговых кампаний, которые стали возможными благодаря скорости и возможностям генерации контента на основе ИИ.

Storm-1811: устойчивый и адаптирующийся злоумышленник

Параллельно с фишинговой схемой на базе платформы Gamma другой развивающийся злоумышленник, известный как Storm-1811 (также называемый STAC5777), начал использовать более продвинутые методы сохранения доступа к скомпрометированным системам.

Согласно новому отчету ReliaQuest, эта группа перешла от традиционных методов фишинга к использованию бэкдоров PowerShell и техник типа COM-хиджакинга, направленных на долгосрочный доступ к захваченным системам.

Первоначальные полезные нагрузки доставлялись через вредоносные объявления в поисковой системе Bing, а кампания была нацелена на руководителей высшего звена в финансовом и технологическом секторах, особенно на людей с женскими именами, что свидетельствует о высокоселективной стратегии таргетирования.

«Фишинговые чаты были тщательно спланированы и приходили между 14:00 и 15:00 по местному времени получателей, совпадая с послеобеденной усталостью сотрудников, когда они могут быть менее внимательны при обнаружении подозрительной активности». — Отчет ReliaQuest.

ReliaQuest также предполагает, что изменение тактики группы Storm-1811 может отражать внутреннюю эволюцию, раскол среди участников или повторное использование начальных тактик другими группами.

Заключение

Использование платформы Gamma, инструмента, предназначенного для законных презентаций, иллюстрирует общую тенденцию киберпреступников к злоупотреблению доверенными платформами для размещения и распространения вредоносного контента.

Эти атаки представляют собой переход к тактике "жизнь за счет доверия к сайтам" (Living Off Trusted Sites, LOTS), когда злоумышленники прячутся на виду, используя платформы, которые часто игнорируются фильтрами безопасности.

Комбинированное использование CAPTCHA-защиты, проверок учетных данных в реальном времени и социальной инженерии на основе ИИ демонстрирует растущую сложность фишинговых угроз. По мере того как инструменты генеративного ИИ становятся всё более доступными, возрастает потенциал для крупномасштабных и убедительных схем мошенничества и кражи данных.

Лидерам в области информационной безопасности рекомендуется:

  1. Аудитировать и контролировать использование сторонних SaaS-инструментов в организации.
  2. Применять методы обнаружения на основе поведения, которые выходят за рамки статических фильтров URL-адресов.

Обучать сотрудников распознаванию признаков продвинутого фишинга, включая непрямые запросы на вход и незнакомые потоки работы.

По мере того как злоумышленники становятся более гибкими и адаптивными, так же должны развиваться и стратегии защиты предприятий, особенно если поверхность угрозы теперь включает в себя те самые инструменты, которым мы больше всего доверяем.

#Безопасность ИИ
Поделиться:
ВконтактеТелеграм