Осторожно, слайд-шоу: хакеры крадут ваши пароли во время презентации.
Вы даже не заметите, как станете жертвой.
Группа киберпреступников начала использовать платформу Gamma — сервис на базе искусственного интеллекта для создания презентаций — в рамках новой многоступенчатой фишинговой атаки. В этой схеме жертву перенаправляют на поддельную страницу входа в Microsoft SharePoint, где происходит кража учётных данных.
По информации специалистов Abnormal Security, вредоносное письмо содержит PDF-файл, который на самом деле является ссылкой на презентацию Gamma, замаскированную под просмотр защищенного документа. Перейдя по ней, пользователь попадает на промежуточную страницу, имитирующую интерфейс Microsoft и дополненную CAPTCHA-защитой Cloudflare Turnstile, что создает ощущение легитимности и помогает обойти автоматические системы безопасности.
Затем следует перенаправление на поддельную страницу входа в Microsoft SharePoint. Здесь злоумышленники используют технику «злоумышленник посередине» (AitM), которая позволяет в режиме реального времени проверять введенные данные — при ошибке система возвращает уведомление о неверном пароле.
Такой тип атак относится к категории Living-off-Trusted-Sites (LoTS), при которой используются легитимные онлайн-сервисы для размещения вредоносного контента, что помогает обходить стандартные проверки вроде SPF, DKIM и DMARC. Благодаря использованию менее известных платформ, таких как Gamma, злоумышленники эффективно избегают обнаружения и вводят пользователей в заблуждение. Платформа презентаций становится не просто прикрытием, а частью продуманной схемы перенаправлений, скрывающей настоящую цель.
Фишинг становится всё более продвинутым, активно используя доверие к известным сервисам и технологиям. Инцидент с Gamma показывает, что даже на первый взгляд безобидные инструменты могут быть превращены в элемент сложной атаки.
Обычные защитные меры, рассчитанные на прямолинейные угрозы, часто бессильны против таких подходов. Это подчёркивает необходимость пересмотра стратегии кибербезопасности и усиленного мониторинга использования легитимных сервисов в нестандартных сценариях.