Atacantes estão utilizando um plataforma de apresentações movida a inteligência artificial (IA), nomeada Gamma, em ataques phishing para direcionar usuários desavisados para páginas de login falsificadas da Microsoft.
"Os atacantes armam o Gamma, uma ferramenta de apresentação baseada em AI relativamente nova, para entregar um link para um portal fraudulento de login no Microsoft SharePoint", disseram os pesquisadores da Abnormal Security, Callie Hinman Baron e Piotr Wojtyla, em uma análise na terça-feira.
A cadeia de ataque se inicia com um email phishing, em alguns casos enviado de contas de email legítimas e comprometidas, para incentivar os destinatários da mensagem a abrir um documento PDF embutido.
Na realidade, o anexo em PDF é apenas um hyperlink que, ao ser clicado, redireciona a vítima para uma apresentação hospedada na Gamma que solicita que cliquem em um botão para "Revisar Documentos Seguros".
Ao fazer isso, o usuário é levado a uma página intermediária que se passa por Microsoft e instrui a completar um passo de verificação Cloudflare Turnstile antes de acessar o documento suposto.
Essa barreira CAPTCHA serve para aumentar a legitimidade do ataque, bem como prevenir a análise URL automática por ferramentas de segurança.
As vítimas são então levadas a uma página phishing que se disfarça como um portal de login do Microsoft SharePoint e tem como objetivo coletar suas credenciais.
"Se credenciais incompatíveis são fornecidas, é acionado um erro de 'Senha incorreta', o que indica que os perpetradores estão utilizando algum tipo de adversário-no-meio (AiTM) para validar as credenciais em tempo real", observaram os pesquisadores.
As descobertas fazem parte de uma tendência contínua de ataques phishing que exploram serviços legítimos para encenar conteúdo malicioso e burlar verificações de autenticação de email como SPF, DKIM e DMARC, uma técnica chamada living-off-trusted-sites (LOTS).
"Este ataque astuto e multi-estágios mostra como os atores de ameaças atuais estão aproveitando os pontos cegos criados por ferramentas menos conhecidas para evitar a detecção, enganar destinatários desavisados e comprometer contas", disseram os pesquisadores.
Em vez de linkar diretamente para uma página de coleta de credenciais, os atacantes encaminham o usuário através de vários passos intermediários: primeiro para a apresentação hospedada na Gamma, depois para uma página splash protegida por um Cloudflare Turnstile, e finalmente para uma página de login da Microsoft falsificada.
Este redirecionamento multi-estágio esconde o destino verdadeiro e dificulta para ferramentas de análise de link estático traçar o caminho do ataque.
A revelação chega enquanto a Microsoft, em seu último relatório Cyber Signals, alertou sobre um aumento nos ataques de fraude movidos a AI para gerar conteúdo crível para ataques em grande escala utilizando deepfakes, clonagem de voz, emails phishing, sites falsos de aparência autêntica e listagens de emprego fraudulentas.
"Ferramentas de AI podem vasculhar e raspar a web por informações de empresas, ajudando atacantes a construir perfis detalhados de empregados ou outros alvos para criar iscas de engenharia social altamente convincentes", disse a empresa.
Em alguns casos, atores maliciosos estão atraindo vítimas para esquemas de fraude cada vez mais complexos usando avaliações de produto aprimoradas por AI e vitrines geradas por AI, onde golpistas criam websites inteiros e marcas de e-commerce, completos com históricos de negócios falsos e depoimentos de clientes.
A Microsoft também disse que tomou medidas contra ataques orquestrados por Storm-1811 (aka STAC5777), que abusou do software Microsoft Quick Assist se passando por suporte de TI através de esquemas de phishing por voz conduzidos via Teams e convencendo as vítimas a concederem acesso remoto ao dispositivo para subsequente implantação de ransomware.
Dito isso, há evidências sugerindo que o grupo de cibercrime por trás da campanha de phishing no Teams pode estar mudando de táticas.
Segundo um novo relatório da ReliaQuest, os atacantes foram observados empregando um método de persistência anteriormente não reportado usando TypeLib COM hijacking e um novo backdoor PowerShell para evadir detecção e manter acesso a sistemas comprometidos.
O ator de ameaça está dito como tendo desenvolvido versões do malware PowerShell desde janeiro de 2025, implantando iterações iniciais via anúncios maliciosos do Bing.
A atividade, detectada dois meses depois, visava clientes nos setores financeiro e de serviços profissionais, científicos e técnicos, focando especificamente em empregados de nível executivo com nomes soando femininos.
As mudanças nas últimas etapas do ciclo de ataque aumentaram a possibilidade de que Storm-1811 esteja evoluindo com novos métodos ou seja obra de um grupo dissidente, ou que um ator de ameaça totalmente diferente tenha adotado as mesmas técnicas de acesso inicial que eram exclusivas a ele.
"Os chats de phishing foram cuidadosamente programados, ocorrendo entre 14h e 15h, perfeitamente sincronizados com o horário local das organizações receptoras e coincidindo com uma queda de energia à tarde em que os empregados podem estar menos alertas para detectar atividades maliciosas", disse a ReliaQuest.
Seja lá se a campanha de phishing no Microsoft Teams foi conduzida por Black Basta, está claro que o phishing através do Microsoft Teams não vai desaparecer.
Atacantes continuam encontrando maneiras inteligentes de burlar defesas e permanecer dentro das organizações.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...