Gamma AI 平台遭钓鱼攻击链,仿冒微软 SharePoint 登录界面
HackerNews 编译,转载请注明出处: 攻击者正在利用一款名为Gamma的AI演示平台进行钓鱼攻击,将毫无戒心的用户引导至仿冒的微软登录页面。 Abnormal Security研究人员Callie Hinman Baron和Piotr Wojtyla在周二的分析报告中指出:“攻击者将Gamma(一种相对较新的基于AI演示工具)武器化,通过其向受害者发送虚假微软SharePoint登录门户的链接。” 攻击链始于钓鱼邮件(某些情况下通过合法但被入侵的邮箱账户发送),诱导收件人打开嵌入的PDF文档。 实际上,该PDF附件仅包含一个超链接。点击后,受害者会被重定向至托管在Gamma平台上的演示页面,并被提示点击“查看安全文档”按钮。 此操作会将用户带到一个仿冒微软的中间页面,要求他们在访问所谓文档前完成Cloudflare Turnstile验证步骤。这一验证码(CAPTCHA)环节既增强了攻击的真实性,也阻止了安全工具对链接进行自动化分析。 随后,目标用户将被导向伪装成微软SharePoint登录门户的钓鱼页面,攻击者试图窃取其凭证。 研究人员指出:“若用户输入错误凭证,页面会显示‘密码错误’提示,这表明攻击者使用了某种实时验证凭证的中间人(AiTM)手段。” 这一发现反映了当前钓鱼攻击的普遍趋势:攻击者滥用合法服务托管恶意内容,绕过SPF、DKIM、DMARC等邮件认证检查——这种技术被称为依赖可信站点生存(LOTS)。 研究人员表示:“这场复杂的多阶段攻击表明,如今的威胁行为者正利用小众工具产生的盲区规避检测、欺骗用户并实施账户入侵。” “攻击者并未直接链接至凭证窃取页面,而是将用户重定向至多个中间环节:首先是Gamma托管的演示页面,随后是受Cloudflare Turnstile保护的跳转页,最终到达仿冒的微软登录页面。这种多阶段跳转隐藏了真实目标,使静态链接分析工具难以追踪攻击路径。” 此次披露恰逢微软在其最新《网络信号》报告中警告称,AI驱动的欺诈攻击正在激增。攻击者利用深度伪造、语音克隆、钓鱼邮件、高仿假网站及虚假招聘信息生成可信内容以扩大攻击规模。 微软表示:“AI工具可扫描并抓取网络上的企业信息,帮助攻击者构建员工或其他目标的详细档案,从而设计极具说服力的社交工程诱饵。” “在某些案例中,攻击者通过伪造的AI增强产品评论和AI生成的网店页面,诱骗受害者陷入日益复杂的欺诈计划。诈骗者甚至创建完整的网站和电商品牌,编造虚假企业历史与客户评价。” 微软还宣布已对Storm-1811(又名STAC5777)组织的攻击采取行动。该组织通过Teams实施语音钓鱼(vishing),伪装成IT支持人员,诱骗受害者授予其设备远程访问权限以部署后续勒索软件。 然而,有证据表明,这场Teams钓鱼活动的幕后团伙可能正在改变策略。ReliaQuest最新报告显示,攻击者采用了一种此前未公开的持久化手段——通过TypeLib COM劫持和新型PowerShell后门逃避检测并维持对入侵系统的访问。 据称,该威胁组织自2025年1月起开发多版PowerShell恶意软件,早期版本通过恶意Bing广告投放。两个月后发现的攻击活动瞄准金融、专业服务及科技行业客户,重点针对女性化名字的高管层员工。 攻击链后期阶段的策略变化引发猜测:Storm-1811可能正在升级手法,或是分支组织所为,亦或是其他威胁行为者复制了其独有的初始入侵技术。 ReliaQuest指出:“钓鱼聊天信息的时间经过精心设计,集中在下午2点至3点之间(与目标组织的当地时间完全同步),利用员工午后警惕性较低的时段实施攻击。” “无论此次微软Teams钓鱼活动是否由Black Basta组织发起,可以肯定的是,通过Teams实施的钓鱼攻击不会消失。攻击者持续寻找绕过防御并潜伏在组织内部的巧妙方法。” 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文