Nel panorama sempre più sofisticato del phishing, i malintenzionati hanno iniziato a sfruttare Gamma, una piattaforma di presentazione basata sull'intelligenza artificiale (AI), per orchestrare attacchi che mirano a rubare le credenziali di accesso ai servizi Microsoft. Gli attaccanti utilizzano Gamma per creare presentazioni che dirottano gli utenti ignari verso pagine di accesso Microsoft false, come rivelato dai ricercatori di Abnormal Security.

La catena di attacco inizia con email di phishing, spesso inviate da account compromessi, che spingono i destinatari ad aprire un documento PDF allegato. Tuttavia, il PDF è semplicemente un link che reindirizza la vittima a una presentazione ospitata su Gamma, la quale invita a cliccare su un pulsante per "Revisionare Documenti Sicuri". Questo conduce l'utente a una pagina intermedia che imita Microsoft, richiedendo di completare un passaggio di verifica Cloudflare Turnstile, aumentando così la percezione di legittimità dell'attacco.

Una volta superato questo step, le vittime vengono indirizzate a una pagina di phishing che simula il portale di accesso di Microsoft SharePoint, con l'intento di raccogliere le loro credenziali. Se vengono inserite credenziali errate, viene generato un errore di "Password errata", suggerendo che gli attaccanti utilizzano un sistema di avversario-nel-mezzo (AiTM) per verificare le credenziali in tempo reale.

Questo metodo fa parte di una tendenza crescente nel phishing che sfrutta servizi legittimi per ospitare contenuti malevoli, bypassando i controlli di autenticazione delle email come SPF, DKIM e DMARC, in una tecnica conosciuta come living-off-trusted-sites (LOTS). Gli attaccanti evitano di collegarsi direttamente a pagine di raccolta credenziali, ma guidano l'utente attraverso diversi passaggi intermedi, rendendo difficile per gli strumenti di analisi statica dei link tracciare il percorso dell'attacco.

Nel frattempo, Microsoft ha segnalato un aumento degli attacchi fraudolenti guidati dall'AI, in grado di generare contenuti credibili su scala, utilizzando deepfake, clonazione vocale, email di phishing, siti web fasulli e annunci di lavoro falsi. Gli strumenti AI possono scansionare il web per informazioni aziendali, aiutando gli attaccanti a costruire profili dettagliati delle vittime per creare esche di ingegneria sociale altamente convincenti.

In risposta, Microsoft ha intrapreso azioni contro attacchi orchestrati da Storm-1811, che ha abusato del software Microsoft Quick Assist, impersonando supporto IT tramite schemi di phishing vocale condotti tramite Teams. Inoltre, è stato rilevato che il gruppo criminale dietro questi attacchi potrebbe aver cambiato tattiche, utilizzando nuovi metodi di persistenza come il TypeLib COM hijacking e un nuovo backdoor PowerShell per eludere la rilevazione e mantenere l'accesso ai sistemi compromessi.