Инструмент презентаций Gamma, который используют дизайнеры и маркетологи для создания красивых слайдов с помощью искусственного интеллекта, теперь оказался и в руках фишеров. Исследование компании Abnormal Security показало, как злоумышленники используют этот легитимный сервис для атак с целью кражи учетных данных.
В одном из кейсов фишинговое письмо пришло с настоящего, но скомпрометированного адреса. В письме был призыв открыть PDF-документ, но на деле это была картинка, ведущая на презентацию, размещённую на платформе Gamma. Презентация имитировала корпоративное уведомление, внутри была кнопка вроде «Просмотреть документы». За ней скрывалась ссылка на поддомен, стилизованный под вымышленную компанию.
После клика жертва попадала сначала на промежуточную страницу с логотипом Microsoft и проверкой от Cloudflare, а затем — на фейковый портал входа в SharePoint. Использовалась схема "злоумышленник посередине" (AiTM): логин и пароль сразу проверялись в реальном времени. Если они были верны — злоумышленники получали доступ, включая MFA-сессии.
Такой подход сложно распознать: используются реальные домены, узнаваемые бренды, оформление без явных ошибок. Abnormal Security называет такие атаки LOTS — living-off-trusted-sites, то есть использование легитимных платформ для размещения вредоносного контента.
Интересно, что Gamma никак не фильтрует подобные презентации. По мнению исследователей, облачные платформы должны отслеживать вредоносную активность и предупреждать пользователей о внешних переходах.
Важно не только технически защищаться, но и регулярно обучать сотрудников распознавать такие атаки.
Источник: Dark Reading