Aktor ancaman memanfaatkan platform presentasi bertenaga intelijen buatan (AI) bernama Gamma dalam serangan phishing untuk mengarahkan pengguna yang tidak curiga ke halaman login Microsoft yang tidak curiga.
“Penyerang mempersenjatai Gamma, alat presentasi yang relatif baru, untuk memberikan tautan ke portal login Microsoft SharePoint yang curang,” kata peneliti keamanan abnormal Hinman Baron dan Piotr Wojtyla dalam analisis Selasa.
Rantai serangan dimulai dengan email phishing, dalam beberapa kasus yang dikirim dari akun email yang sah dan dikompromikan, untuk menarik penerima pesan untuk membuka dokumen PDF tertanam.
Pada kenyataannya, lampiran PDF tidak lain adalah hyperlink yang, ketika diklik, mengarahkan korban ke presentasi yang di -host di gamma yang meminta mereka untuk mengklik tombol untuk “meninjau dokumen aman.”
Melakukan hal itu membawa pengguna ke halaman menengah yang menyamar sebagai Microsoft dan menginstruksikan mereka untuk menyelesaikan langkah verifikasi turnstile CloudFlare sebelum mengakses dokumen yang seharusnya. Penghalang captcha ini berfungsi untuk meningkatkan legitimasi serangan, serta mencegah analisis URL otomatis oleh alat keamanan.
Target kemudian dibawa ke halaman phishing yang menyamar sebagai portal masuk Microsoft SharePoint dan bertujuan untuk mengumpulkan kredensial mereka.
“Jika kredensial yang tidak cocok disediakan, itu memicu kesalahan 'kata sandi yang salah', yang menunjukkan pelaku menggunakan semacam musuh di tengah-tengah (AITM) untuk memvalidasi kredensial secara real time,” kata para peneliti.
Temuan ini merupakan bagian dari tren yang berkelanjutan dari serangan phishing yang mengeksploitasi layanan yang sah untuk menggelar konten berbahaya dan memotong pemeriksaan otentikasi email seperti SPF, DKIM, dan DMARC, sebuah teknik yang disebut lokasi yang diperdagangkan (banyak).
“Serangan multi-tahap yang cerdas ini menunjukkan bagaimana aktor ancaman saat ini mengambil keuntungan dari bintik-bintik buta yang dibuat oleh alat yang kurang dikenal untuk menghindari deteksi, menipu penerima yang tidak curiga, dan kompromi,” kata para peneliti.
“Daripada menghubungkan langsung ke halaman pemanenan kredensial, para penyerang mengarahkan pengguna melalui beberapa langkah perantara: pertama ke presentasi yang diselenggarakan oleh gamma, kemudian ke halaman splash yang dilindungi oleh pintu putar Cloudflare, dan akhirnya ke halaman login microsoft yang spoof.
Pengungkapan itu datang sebagai Microsoft, dalam laporan Sinyal Cyber terbaru, memperingatkan peningkatan serangan penipuan yang digerakkan AI untuk menghasilkan konten yang dapat dipercaya untuk serangan pada skala menggunakan Deepfake, kloning suara, email phishing, situs web palsu yang tampak otentik, dan daftar pekerjaan Bogus.
“Alat AI dapat memindai dan mengikis web untuk informasi perusahaan, membantu penyerang membangun profil rinci karyawan atau target lain untuk membuat umpan rekayasa sosial yang sangat meyakinkan,” kata perusahaan itu.
“Dalam beberapa kasus, aktor yang buruk memikat korban ke skema penipuan yang semakin kompleks menggunakan ulasan produk palsu AI yang disempurnakan dan etalase yang dihasilkan AI, di mana scammers membuat seluruh situs web dan merek e-commerce, lengkap dengan sejarah bisnis palsu dan kesaksian pelanggan.”
Microsoft juga mengatakan telah mengambil tindakan terhadap serangan yang diatur oleh Storm-1811 (alias STAC5777), yang telah menyalahgunakan perangkat lunak Microsoft Quick Assist dengan berpose karena mendukung melalui skema phishing suara yang dilakukan melalui tim dan meyakinkan korban untuk memberi mereka akses perangkat jarak jauh untuk penurunan ransomware berikutnya.
Yang mengatakan, ada bukti yang menunjukkan bahwa kelompok kejahatan dunia maya di belakang kampanye tim Vishing mungkin menggeser taktik. Menurut laporan baru dari Reliaquest, para penyerang telah diamati menggunakan metode kegigihan yang sebelumnya tidak dilaporkan menggunakan pembajakan com Typelib dan pintu belakang PowerShell baru untuk menghindari deteksi dan mempertahankan akses ke sistem yang dikompromikan.
Aktor ancaman dikatakan telah mengembangkan versi malware PowerShell sejak Januari 2025, menggunakan iterasi awal melalui iklan Bing jahat. Kegiatan, terdeteksi dua bulan kemudian, menargetkan pelanggan di sektor keuangan dan profesional, ilmiah, dan teknis, khususnya berfokus pada karyawan tingkat eksekutif dengan nama yang terdengar wanita.
Perubahan pada tahap selanjutnya dari siklus serangan telah meningkatkan kemungkinan bahwa Storm-1811 berevolusi dengan metode baru atau itu adalah pekerjaan kelompok sempalan, atau bahwa aktor ancaman yang sama sekali berbeda telah mengadopsi teknik akses awal yang sama yang eksklusif untuk itu.
“Obrolan phishing diatur waktunya dengan cermat, mendarat antara pukul 14:00 dan 3:00 sore, disinkronkan dengan sempurna ke waktu setempat organisasi penerima dan bertepatan dengan kemerosotan sore di mana karyawan mungkin kurang waspada dalam melihat aktivitas jahat,” kata Reliaquest.
“Apakah kampanye phishing tim Microsoft ini dijalankan oleh Black Basta, jelas bahwa phishing melalui tim Microsoft tidak ke mana -mana. Penyerang terus menemukan cara pintar untuk memotong pertahanan dan tetap di dalam organisasi.”
