Киберпреступники начали активно использовать платформу Gamma — новый сервис на базе искусственного интеллекта для создания презентаций — в сложных многоуровневых атаках на пользователей Microsoft. Цель схемы — получить доступ к корпоративным учетным данным через поддельные страницы входа SharePoint, при этом сама атака умело маскируется под легитимные процессы работы с документами.
Фишинговая кампания начинается с письма, отправленного с взломанного, но законного адреса. В письме содержится PDF-файл, который на деле является кликабельной ссылкой. При переходе пользователь попадает на презентацию, размещённую на платформе Gamma, где ему предлагается нажать кнопку «Просмотреть защищённые документы». Такой подход сразу снижает уровень подозрительности, ведь сервис Gamma пока мало знаком широкой аудитории.
Нажатие на кнопку приводит жертву на промежуточную страницу, имитирующую интерфейс Microsoft, где требуется пройти проверку с помощью капчи Cloudflare Turnstile. Этот шаг делает атаку более убедительной и затрудняет автоматический анализ URL-адресов средствами корпоративной безопасности. После успешной капчи пользователь перенаправляется на фишинговую страницу, внешне не отличимую от настоящей страницы входа Microsoft SharePoint.
Если пользователь вводит неправильный пароль, система сообщает об ошибке, что указывает на применение злоумышленниками тактики adversary-in-the-middle (AiTM) для мгновенной проверки введённых данных в реальном времени. Такой подход не только позволяет отсеивать неверные учетные данные, но и подтверждает актуальность похищенной информации.
Эксперты Callie Hinman Baron и Piotr Wojtyla из компании Abnormal Security отмечают: «Атака эксплуатирует слепые зоны, которые появляются из-за использования малоизвестных инструментов». Исследователи подчеркивают, что использование легитимных сервисов — часть набирающей обороты тенденции living-off-trusted-sites (LOTS), когда для доставки вредоносного контента применяются доверенные платформы, обходя фильтры SPF, DKIM и DMARC.
Обнаруженная схема — лишь часть более широкой волны атак с применением ИИ. Согласно последнему отчету Microsoft Cyber Signals, резко выросло число мошеннических операций с использованием искусственного интеллекта: от дипфейков и подделки голоса до убедительных фишинговых писем, поддельных сайтов, фиктивных вакансий и обзоров товаров. Злоумышленники автоматически собирают информацию о компаниях в интернете, создают персонализированные профили и используют их для точных атак методом социальной инженерии.
Особое внимание исследователи уделяют группе Storm-1811 (STAC5777), известной атаками через Microsoft Quick Assist и фишинговыми звонками в Teams (вишинг). Преступники убеждают жертву предоставить удалённый доступ к компьютеру, после чего внедряют программы-вымогатели. По данным компании ReliaQuest, Storm-1811 осваивает новые методы закрепления в системе, включая TypeLib COM hijacking, а также разрабатывает свои PowerShell-бэкдоры для обхода обнаружения и слежки. Разработка PowerShell-вредоноса началась в январе 2025 года, а первые атаки были зафиксированы через два месяца с помощью вредоносной рекламы в Bing, нацеленной на руководителей с женскими именами в финансовых, профессиональных и научно-технических сферах.
Интересно, что время проведения фишинговых чатов в Microsoft Teams было выбрано с учётом психологических особенностей — между 14:00 и 15:00 по местному времени, когда у сотрудников обычно снижается концентрация и внимательность. Это увеличивает вероятность успешности атаки.
Отдельные признаки указывают, что к этим кампаниям может быть причастна группировка Black Basta, либо наблюдается расщепление Storm-1811 на несколько команд или копирование их методов другими злоумышленниками.
Фишинговые атаки через Microsoft Teams продолжаются и развиваются: преступники постоянно ищут новые способы обхода защитных мер и закрепления в инфраструктуре компаний. Использование легитимных сервисов, инновационных методов доставки и проверки учетных данных делает такие кампании все более опасными для бизнеса.
Изображение носит иллюстративный характер
Фишинговая кампания начинается с письма, отправленного с взломанного, но законного адреса. В письме содержится PDF-файл, который на деле является кликабельной ссылкой. При переходе пользователь попадает на презентацию, размещённую на платформе Gamma, где ему предлагается нажать кнопку «Просмотреть защищённые документы». Такой подход сразу снижает уровень подозрительности, ведь сервис Gamma пока мало знаком широкой аудитории.
Нажатие на кнопку приводит жертву на промежуточную страницу, имитирующую интерфейс Microsoft, где требуется пройти проверку с помощью капчи Cloudflare Turnstile. Этот шаг делает атаку более убедительной и затрудняет автоматический анализ URL-адресов средствами корпоративной безопасности. После успешной капчи пользователь перенаправляется на фишинговую страницу, внешне не отличимую от настоящей страницы входа Microsoft SharePoint.
Если пользователь вводит неправильный пароль, система сообщает об ошибке, что указывает на применение злоумышленниками тактики adversary-in-the-middle (AiTM) для мгновенной проверки введённых данных в реальном времени. Такой подход не только позволяет отсеивать неверные учетные данные, но и подтверждает актуальность похищенной информации.
Эксперты Callie Hinman Baron и Piotr Wojtyla из компании Abnormal Security отмечают: «Атака эксплуатирует слепые зоны, которые появляются из-за использования малоизвестных инструментов». Исследователи подчеркивают, что использование легитимных сервисов — часть набирающей обороты тенденции living-off-trusted-sites (LOTS), когда для доставки вредоносного контента применяются доверенные платформы, обходя фильтры SPF, DKIM и DMARC.
Обнаруженная схема — лишь часть более широкой волны атак с применением ИИ. Согласно последнему отчету Microsoft Cyber Signals, резко выросло число мошеннических операций с использованием искусственного интеллекта: от дипфейков и подделки голоса до убедительных фишинговых писем, поддельных сайтов, фиктивных вакансий и обзоров товаров. Злоумышленники автоматически собирают информацию о компаниях в интернете, создают персонализированные профили и используют их для точных атак методом социальной инженерии.
Особое внимание исследователи уделяют группе Storm-1811 (STAC5777), известной атаками через Microsoft Quick Assist и фишинговыми звонками в Teams (вишинг). Преступники убеждают жертву предоставить удалённый доступ к компьютеру, после чего внедряют программы-вымогатели. По данным компании ReliaQuest, Storm-1811 осваивает новые методы закрепления в системе, включая TypeLib COM hijacking, а также разрабатывает свои PowerShell-бэкдоры для обхода обнаружения и слежки. Разработка PowerShell-вредоноса началась в январе 2025 года, а первые атаки были зафиксированы через два месяца с помощью вредоносной рекламы в Bing, нацеленной на руководителей с женскими именами в финансовых, профессиональных и научно-технических сферах.
Интересно, что время проведения фишинговых чатов в Microsoft Teams было выбрано с учётом психологических особенностей — между 14:00 и 15:00 по местному времени, когда у сотрудников обычно снижается концентрация и внимательность. Это увеличивает вероятность успешности атаки.
Отдельные признаки указывают, что к этим кампаниям может быть причастна группировка Black Basta, либо наблюдается расщепление Storm-1811 на несколько команд или копирование их методов другими злоумышленниками.
Фишинговые атаки через Microsoft Teams продолжаются и развиваются: преступники постоянно ищут новые способы обхода защитных мер и закрепления в инфраструктуре компаний. Использование легитимных сервисов, инновационных методов доставки и проверки учетных данных делает такие кампании все более опасными для бизнеса.
