Tehdit aktörleri, şüphesiz kullanıcıları sahte Microsoft giriş sayfalarına yönlendirmek için kimlik avı saldırılarında Gamma adlı yapay zeka (AI) güçlü bir sunum platformundan yararlanıyor.
Anormal güvenlik araştırmacıları Hinman Baron ve Piotr Wojtyla, “Saldırganlar nispeten yeni bir yapay zeka tabanlı sunum aracı olan Gamma’yı, hileli bir Microsoft SharePoint giriş portalına bir bağlantı sunmak için.” Dedi.
Saldırı zinciri, mesaj alıcılarını gömülü bir PDF belgesi açmaya ikna etmek için meşru, tehlikeye atılmış e -posta hesaplarından gönderilen bazı durumlarda bir kimlik avı e -postasıyla başlar.
Gerçekte, PDF eki, tıklandığında, kurbanı Gamma’da barındıran “güvenli belgeleri incelemek” için bir düğmeye tıklamalarını isteyen bir sunuma yönlendiren bir köprüden başka bir şey değildir.
Bunu yapmak, kullanıcıyı Microsoft’u taklit eden ve sözde belgeye erişmeden önce bir Cloudflare Turnstile doğrulama adımı doldurmalarını söyleyen bir ara sayfaya götürür. Bu Captcha Bariyeri, saldırının meşruiyetini artırmaya ve güvenlik araçları tarafından otomatik URL analizini önlemeye hizmet eder.
Hedefler daha sonra bir Microsoft SharePoint oturum açma portalı olarak maskelenen ve kimlik bilgilerini toplamayı amaçlayan bir kimlik avı sayfasına götürülür.
Araştırmacılar, “Karışık kimlik bilgileri sağlanırsa, faillerin kimlik bilgilerini gerçek zamanlı olarak doğrulamak için ortada bir tür düşman (AITM) kullandığını gösteren ‘yanlış bir şifre’ hatasını tetikler.”
Bulgular, kötü niyetli içerik sahnelemek için meşru hizmetlerden yararlanan ve SPF, DKIM ve DMARC gibi e-posta kimlik doğrulama kontrollerini, canlı güvenilir siteler (çok) adı verilen bir teknik olan devam eden bir kimlik avı saldırıları eğiliminin bir parçasıdır.
Araştırmacılar, “Bu akıllı, çok aşamalı saldırı, bugünün tehdit aktörlerinin, tespiti kaldırma, şüphesiz alıcıları kandırmak ve hesapları uzatmak için daha az bilinen araçların yarattığı kör noktalardan nasıl yararlandığını gösteriyor.” Dedi.
“Saldırganlar, doğrudan bir kimlik bilgisi hasat sayfasına bağlantı kurmak yerine, kullanıcıyı birkaç aracı adımla yönlendirir: önce gama barındırılan sunum için, daha sonra bir Cloudflare turnikesi ile korunan bir sıçrama sayfasına ve bu çok aşamalı yeniden yönlendirme, gerçek hedefi zorlar ve saldırı yoluna zorlar.
Açıklama, Microsoft, en son siber sinyaller raporunda, derin dana, ses klonlama, kimlik avı e-postaları, otantik görünümlü sahte web siteleri ve sahte iş listeleri kullanarak ölçekli saldırılar için inandırıcı içerik oluşturmak için AI güdümlü sahtekarlık saldırılarında bir artış konusunda uyardı.
Şirket, “AI araçları, şirket bilgileri için web’i tarayabilir ve kazıyabilir, saldırganların son derece ikna edici sosyal mühendislik yemleri yaratmak için çalışanların veya diğer hedeflerin ayrıntılı profillerini oluşturmalarına yardımcı olabilir.” Dedi.
“Bazı durumlarda, kötü aktörler kurbanları sahte Ai ile güçlendirilmiş ürün incelemeleri ve AI tarafından üretilen vitrin önleri kullanarak giderek daha karmaşıklaşan sahtekarlık planlarına çekiyorlar, burada dolandırıcılar tüm web siteleri ve e-ticaret markaları oluşturuyor, sahte iş geçmişleri ve müşteri referansları ile tamamlanıyor.”
Microsoft ayrıca, Microsoft Quick Assist yazılımı, ekipler aracılığıyla yürütülen sesli kimlik avı şemaları aracılığıyla destek olarak poz vererek ve kurbanları daha sonraki fidye yazılımı dağıtımına uzak cihaz erişimi vermeye ikna ederek istismar eden Storm-1811 (AKA STAC5777) tarafından düzenlenen saldırılara karşı harekete geçtiğini söyledi.
Bununla birlikte, takımların Vishing kampanyasının arkasındaki siber suç grubunun taktikleri değiştirebileceğini gösteren kanıtlar var. Reliaquest’ten yeni bir rapora göre, saldırganların tespit edilmesinden kaçınmak ve tehlikeye giren sistemlere erişimi sürdürmek için Typelib Com kaçırma ve yeni bir Powershell arka kapı kullanılarak daha önce bildirilmemiş bir kalıcılık yöntemi kullandığı gözlendi.
Tehdit oyuncusunun, Ocak 2025’ten bu yana PowerShell kötü amaçlı yazılımlarının sürümlerini geliştirdiği ve kötü amaçlı bing reklamları aracılığıyla erken yinelemeler kullandığı söyleniyor. İki ay sonra tespit edilen faaliyet, özellikle kadın sesli isimleri olan yönetici düzeyinde çalışanlara odaklanan finans ve profesyonel, bilimsel ve teknik hizmet sektörlerindeki müşterileri hedef aldı.
Saldırı döngüsünün sonraki aşamalarındaki değişiklikler, Storm-1811’in ya yeni yöntemlerle gelişme veya bir kıymık grubunun çalışması veya tamamen farklı bir tehdit oyuncusu, kendisine özel olan aynı başlangıç erişim tekniklerini benimseme olasılığını artırdı.
Reliaquest, “Kimlik avı sohbetleri dikkatle zamanlanmış, 14:00 ile 15:00 arasında iniş yaparak, alıcı kuruluşlarının yerel saatiyle mükemmel bir şekilde senkronize edildi ve çalışanların kötü niyetli etkinlik tespitinde daha az uyanık olabileceği öğleden sonra çöküşüyle çakıştı.” Dedi.
“Bu Microsoft Teams Kimlik Yardım Kampanyası Black Basta tarafından yönetilip yönetilmese de, Microsoft takımları aracılığıyla kimlik avının hiçbir yere gitmediği açıktır. Saldırganlar, savunmaları atlamak ve kuruluşların içinde kalmak için akıllı yollar bulmaya devam ediyor.”