Los actores de amenazas están aprovechando una plataforma de presentación de inteligencia artificial (AI) llamada Gamma en ataques de phishing para dirigir a los usuarios desprevenidos a falsificar páginas de inicio de sesión de Microsoft.
«Los atacantes arman a Gamma, una herramienta de presentación relativamente nueva basada en la IA, para ofrecer un enlace a un portal de inicio de sesión de Microsoft SharePoint de Microsoft», dijeron los investigadores de seguridad anormales Callie Hinman Baron y Piotr Wojtyla en un análisis del martes.
La cadena de ataque comienza con un correo electrónico de phishing, en algunos casos enviado desde cuentas de correo electrónico legítimas y comprometidas, para atraer a los destinatarios de mensajes a abrir un documento PDF integrado.
En realidad, el archivo adjunto PDF no es más que un hipervínculo que, cuando se hace clic, redirige a la víctima a una presentación alojada en gamma que les pide que haga clic en un botón para «revisar documentos seguros».
Hacerlo lleva al usuario a una página intermedia que se hace pasar por Microsoft y les indica que complete un paso de verificación de tendencia CloudFlare antes de acceder al documento supuesto. Esta barrera Captcha sirve para aumentar la legitimidad del ataque, así como evitar el análisis de URL automatizado por herramientas de seguridad.
Los objetivos se llevan a una página de phishing que se disfraza de un portal de inicio de sesión de Microsoft SharePoint y tiene como objetivo recolectar sus credenciales.
«Si se proporcionan credenciales no coincidentes, desencadena un error de ‘contraseña incorrecta’, lo que indica que los perpetradores están utilizando algún tipo de adversario en el medio (AITM) para validar las credenciales en tiempo real», señalaron los investigadores.
Los hallazgos son parte de una tendencia continua de ataques de phishing que explotan los servicios legítimos para organizar contenido malicioso y pasar por alto las verificaciones de autenticación de correo electrónico como SPF, DKIM y DMARC, una técnica llamada Sitios Living-Off Trust (LOT).
«Este inteligente ataque de múltiples etapas muestra cómo los actores de amenaza de hoy están aprovechando los puntos ciegos creados por herramientas menos conocidas para evitar la detección, engañar a los receptores desprevenidos y comprometer cuentas», dijeron los investigadores.
«En lugar de vincularse directamente a una página de recolección de credenciales, los atacantes enrutan al usuario a través de varios pasos intermediarios: primero a la presentación alojada en gamma, luego a una página de salpicaduras protegida por un torniquete de CloudFlare, y finalmente a una página de inicio de sesión de Microsoft falsificada. Esta redirección de múltiples escenarios oculta el destino verdadero y dificulta la dificultad para las herramientas de análisis de enlace estatoso para trazar la ruta de ataque de ataque».
La divulgación se produce cuando Microsoft, en su último informe de señales cibernéticas, advirtió sobre un aumento en los ataques de fraude impulsados por la IA para generar contenido creíble para ataques a escala utilizando defectos profundos, clonación de voz, correos electrónicos de phishing, sitios web falsos de aspecto auténtico y listas de trabajo falsos.
«Las herramientas de IA pueden escanear y raspar la web para obtener información de la compañía, ayudando a los atacantes a construir perfiles detallados de empleados u otros objetivos para crear señuelos de ingeniería social altamente convincente», dijo la compañía.
«En algunos casos, los malos actores están atrayendo a las víctimas a esquemas de fraude cada vez más complejos que utilizan revisiones de productos falsas mejoradas con AI y escaparates generados por IA, donde los estafadores crean sitios web completos y marcas de comercio electrónico, completos con historias comerciales falsas y testimonios de clientes».
Microsoft también dijo que ha tomado medidas contra los ataques orquestados por Storm-1811 (también conocido como STAC5777), que ha abusado del software de asistencia rápida de Microsoft al hacerse pasar a medida a través de esquemas de phishing de voz realizados a través de equipos y convencer a las víctimas para otorgarles acceso remoto a los dispositivos de dispositivos remotos para el despliegue de ransomware posterior.
Dicho esto, hay evidencia que sugiere que el grupo de delitos cibernéticos detrás de la campaña de los equipos Vishing puede ser tácticas cambiantes. Según un nuevo informe de Reliaquest, se ha observado que los atacantes emplean un método de persistencia previamente no reportado utilizando el secuestro Typelib COM y una nueva puerta trasera de PowerShell para evadir la detección y mantener el acceso a los sistemas comprometidos.
Se dice que el actor de amenaza ha estado desarrollando versiones del malware PowerShell desde enero de 2025, desplegando iteraciones tempranas a través de anuncios de Bing maliciosos. La actividad, detectada dos meses después, atacó a los clientes en los sectores de servicios financieros y profesionales, científicos y técnicos, centrándose específicamente en empleados a nivel ejecutivo con nombres que suenan mujeres.
Los cambios en las etapas posteriores del ciclo de ataque han planteado la posibilidad de que Storm-1811 esté evolucionando con nuevos métodos o es el trabajo de un grupo Splinter, o que un actor de amenaza completamente diferente ha adoptado las mismas técnicas de acceso iniciales que fueron exclusivas para él.
«Los chats de phishing fueron cuidadosamente cronometrados, aterrizando entre las 2:00 p.m. y las 3:00 p.m., perfectamente sincronizados con la hora local de las organizaciones destinadas y coincidiendo con una caída de la tarde en la que los empleados pueden estar menos alertas para detectar actividades maliciosas», dijo Reliaquest.
«Si Black Basta dirigió o no esta campaña de phishing de los equipos de Microsoft, está claro que Phishing a través de los equipos de Microsoft no va a ninguna parte. Los atacantes siguen encontrando formas inteligentes de pasar por alto las defensas y permanecer dentro de las organizaciones».