Где искусство встречает кибер преступление: Gamma и фишинг через Microsoft SharePoint
Программное обеспечение Gamma, относительно новый инструмент для создания презентаций с использованием AI, стало жертвой кибермошенников, которые используют его в фишинговых атаках, маскируясь под Microsoft SharePoint, с целью кражи учетных данных пользователей. Исследователи кибербезопасности компании Abnormal заметили эти атаки, описывая фишинговый процесс как «настолько отточенный, что кажется законным на каждом этапе».
Атака начинается с короткого фишингового письма, отправленного с легитимного, но скомпрометированного почтового аккаунта. Это позволяет мошенникам обойти стандартные проверки аутентификации, такие как SPF, DKIM и DMARC, и попасть в «входящие» цели.
Сама электронная почта выглядит обычной и содержит PDF-вложение, которое на самом деле является гиперссылкой, ведущей на презентацию, размещенную на Gamma, AI-инструменте для создания онлайн-презентаций.
Презентация содержит логотип поддельной организации и сообщение в духе «Просмотр PDF» или «Обзор безопасных документов». Это сообщение представлено в виде гиперссылки, которая ведет на промежуточную страницу с подделанным брендингом Microsoft и Cloudflare Turnstile. Таким образом, мошенники гарантируют, что в сайт будут заходить реальные люди, а не базовые автоматизированные инструменты безопасности.
Если жертва кликает по призыву к действию, она попадает на фишинговую страницу, имитирующую портал входа в Microsoft SharePoint. Здесь и происходит настоящая кража, поскольку жертвы приглашаются ввести свои учетные данные Microsoft. Если ввести неправильные учетные данные, появляется ошибка, что позволяет исследователям сделать вывод о наличии у мошенников некоего «противника посередине», который помогает им проверять учетные данные в реальном времени.
Abnormal отмечает, что атака уникальна в основном потому, что Gamma является «относительным новичком» на рынке, появившись всего несколько лет назад. Исследователи также добавили, что «организации становятся все более знакомыми с фишинговыми атаками через обмен файлами в целом, и некоторые, возможно, даже начали включать примеры в свои учебные программы по безопасности. Тем не менее, вероятно, что процент компаний, которые обновили свое обучение по кибербезопасности, чтобы включить этот тип фишинга, невелик — и количество тех, кто использует примеры атак, не использующих известные бренды, такие как Docusign и Dropbox, еще ниже».
«Таким образом, такая атака может не вызвать тревоги, которая бы побудила сотрудников проявить более высокий уровень бдительности, в отличие от атак, эксплуатирующих Canva или Google Drive», — заключили исследователи.
Итак, наш дорогой Gamma, этот трепетный новобранец среди инструментов создания презентаций, вдруг стал мишенью для киберкрокодилов, решивших, что настало время проявить свои "творческие" способности. Интересно, кому вообще пришло в голову, что такой сервис может привлечь воров? На первый взгляд, фишинговое письмо от скомпрометированного почтового аккаунта — это худой, но всё же жизнеутверждающий знак. Неужели компании понадобилось несколько лет, чтобы осознать, как стать жертвой?
Сам процесс атаки выглядит почти завораживающе: злодеи запускают свои чары, маскируясь под Microsoft SharePoint, словно волшебники на карнавальной ярмарке... только в их случае никто не выходит живым. Жертвы, потянувшиеся посмотреть сладкие PDF-документы, как мухи на сладкий сироп, даже не подозревают, что за своим желанием заглянуть в «безопасные документы» они идут прямиком в пасть хищника.
Abnormal, наши защитники в плаще кибербезопасности, с щемящей грустью информируют, что эта атака уникальна, творчески использующая креатив Gamma. Можно подумать, что наши анонимные фишеры лайкают новички на рынке — им же по сути пофиг, что творится у коллег из Dropbox или Docusign. Фирмы, кажется, заглядываются на новые возможности, не имея ни малейшего представления о потенциальных ловушках.
Конечно, обучение сотрудников по безопасности в последние годы стало центральной темой обсуждений на всех уровнях, но это так и осталось простой риторикой. Важнее же разгуливать по грязными тропами фишинга с известными брендами, чем осваивать «мелочи» вроде Gamma. В результате новички, откровенно говоря, остаются без должного внимания. А в то время, пока компании морально готовятся к встрече с фишерами, злодеи снова кидаются в игру, готовые рвать на части любые нежные души.
Так что, не стоит удивляться — этот мир, полный технологий и инноваций, только и ждёт, когда его новые "таланты" упадут в общую меловую яму фишинга, которая по-прежнему остается темной лошадкой на фоне привычных угроз. Дайте Gamma чуть больше времени — возможно, они перейдут на уровень защитников, вместо того чтобы разбивать свои презентации на пути к фишинг-сказке.