Los actores de amenaza est\u00e1n aprovechando una plataforma de presentaci\u00f3n con inteligencia artificial (IA) llamada Gama<\/a> En ataques de phishing para dirigir a los usuarios desprevenidos a falsificar p\u00e1ginas de inicio de sesi\u00f3n de Microsoft.<\/p>\n “Los atacantes arman a Gamma, una herramienta de presentaci\u00f3n relativamente nueva basada en la IA, para ofrecer un enlace a un fraudulento portal de inicio de sesi\u00f3n de Microsoft SharePoint”, investigadores de seguridad anormales Hinman Baron y Piotr Wojtyla dicho<\/a> En un an\u00e1lisis del martes.<\/p>\n La cadena de ataque comienza con un correo electr\u00f3nico de phishing, en algunos casos enviado desde cuentas de correo electr\u00f3nico leg\u00edtimas y comprometidas, para atraer a los destinatarios de mensajes a abrir un documento PDF integrado.<\/p>\n En realidad, el archivo adjunto PDF no es m\u00e1s que un hiperv\u00ednculo que, cuando se hace clic, redirige a la v\u00edctima a una presentaci\u00f3n alojada en gamma que les pide que haga clic en un bot\u00f3n para “revisar documentos seguros”.<\/p>\n Hacerlo lleva al usuario a una p\u00e1gina intermedia que se hace pasar por Microsoft y les indica que complete un paso de verificaci\u00f3n de tendencia CloudFlare antes de acceder al documento supuesto. Esta barrera Captcha sirve para aumentar la legitimidad del ataque, as\u00ed como evitar el an\u00e1lisis de URL automatizado por herramientas de seguridad.<\/p>\n Los objetivos se llevan a una p\u00e1gina de phishing que se disfraza de un portal de inicio de sesi\u00f3n de Microsoft SharePoint y tiene como objetivo recolectar sus credenciales.<\/p>\n “Si se proporcionan credenciales no coincidentes, desencadena un error de ‘contrase\u00f1a incorrecta’, lo que indica que los perpetradores est\u00e1n utilizando alg\u00fan tipo de adversario en el medio<\/a> (Aitm<\/a>) para validar las credenciales en tiempo real “, se\u00f1alaron los investigadores.<\/p>\n Los hallazgos son parte de una tendencia continua de ataques de phishing que explotan los servicios leg\u00edtimos para organizar contenido malicioso y pasar por alto las verificaciones de autenticaci\u00f3n de correo electr\u00f3nico como SPF, DKIM y DMARC, una t\u00e9cnica llamada Sitios Living-Off Trust (LOT).<\/p>\n “Este inteligente ataque de m\u00faltiples etapas muestra c\u00f3mo los actores de amenaza de hoy est\u00e1n aprovechando los puntos ciegos creados por herramientas menos conocidas para evitar la detecci\u00f3n, enga\u00f1ar a los receptores desprevenidos y comprometer cuentas”, dijeron los investigadores.<\/p>\n “En lugar de vincularse directamente a una p\u00e1gina de recolecci\u00f3n de credenciales, los atacantes enrutan al usuario a trav\u00e9s de varios pasos intermediarios: primero a la presentaci\u00f3n alojada en gamma, luego a una p\u00e1gina de salpicaduras protegida por un torniquete de nubeflare, y finalmente a una p\u00e1gina de inicio de sesi\u00f3n de Microsoft falsificada. Esta redirecci\u00f3n de m\u00faltiples escenarios oculta el destino verdadero y dificulta la dif\u00edcil para las herramientas de an\u00e1lisis de enlace estatoso para trazar la ruta de ataque de ataque”.<\/p>\n La divulgaci\u00f3n llega como Microsoft, en su \u00daltimo informe de se\u00f1ales cibern\u00e9ticas<\/a>advirti\u00f3 sobre un aumento en los ataques de fraude impulsados \u200b\u200bpor la IA para generar contenido cre\u00edble para ataques a escala utilizando profundos, clonaci\u00f3n de voz, correos electr\u00f3nicos de phishing, sitios web falsos de aspecto aut\u00e9ntico y listados de trabajo falsos.<\/p>\n “Las herramientas de IA pueden escanear y raspar la web para obtener informaci\u00f3n de la compa\u00f1\u00eda, ayudando a los atacantes a construir perfiles detallados de empleados u otros objetivos para crear se\u00f1uelos de ingenier\u00eda social altamente convincente”, dijo la compa\u00f1\u00eda.<\/p>\n “En algunos casos, los malos actores est\u00e1n atrayendo a las v\u00edctimas a esquemas de fraude cada vez m\u00e1s complejos que utilizan revisiones de productos falsas mejoradas con AI y escaparates generados por IA, donde los estafadores crean sitios web completos y marcas de comercio electr\u00f3nico, completos con historias comerciales falsas y testimonios de clientes”.<\/p>\n Microsoft tambi\u00e9n dijo que ha tomado medidas contra los ataques orquestados por Storm-1811 (tambi\u00e9n conocido como STAC5777), que ha abusado del software de asistencia r\u00e1pida de Microsoft al hacerse pasar a medida a trav\u00e9s de esquemas de phishing de voz realizados a trav\u00e9s de equipos y convencer a las v\u00edctimas para otorgarles acceso remoto a los dispositivos de dispositivos remotos para el despliegue de ransomware posterior.<\/p>\n Dicho esto, hay evidencia que sugiere que el grupo de delitos cibern\u00e9ticos detr\u00e1s de la campa\u00f1a de los equipos Vishing puede ser t\u00e1cticas cambiantes. Seg\u00fan un nuevo informe de Reliaquest, se ha observado que los atacantes emplean un m\u00e9todo de persistencia previamente no reportado utilizando Typelib com secuestro<\/a> y una nueva puerta trasera de PowerShell para evadir la detecci\u00f3n y mantener el acceso a sistemas comprometidos.<\/p>\n Se dice que el actor de amenaza ha estado desarrollando versiones del malware PowerShell desde enero de 2025, desplegando iteraciones tempranas a trav\u00e9s de anuncios de Bing maliciosos. La actividad, detectada dos meses despu\u00e9s, atac\u00f3 a los clientes en los sectores de servicios financieros y profesionales, cient\u00edficos y t\u00e9cnicos, centr\u00e1ndose espec\u00edficamente en empleados a nivel ejecutivo con nombres que suenan mujeres.<\/p>\n Los cambios en las etapas posteriores del ciclo de ataque han planteado la posibilidad de que Storm-1811 est\u00e9 evolucionando con nuevos m\u00e9todos o es el trabajo de un grupo Splinter, o que un actor de amenaza completamente diferente ha adoptado las mismas t\u00e9cnicas de acceso iniciales que fueron exclusivas para \u00e9l.<\/p>\n “Los chats de phishing fueron cuidadosamente cronometrados, aterrizando entre las 2:00 p.m. y las 3:00 p.m., perfectamente sincronizados con la hora local de las organizaciones destinadas y coincidiendo con una ca\u00edda de la tarde en la que los empleados pueden estar menos alertas en detectar actividades maliciosas”, Reliaquest dicho<\/a>.<\/p>\n “Si Black Basta dirigi\u00f3 o no esta campa\u00f1a de phishing de los equipos de Microsoft, est\u00e1 claro que Phishing a trav\u00e9s de los equipos de Microsoft no va a ninguna parte. Los atacantes siguen encontrando formas inteligentes de pasar por alto las defensas y permanecer dentro de las organizaciones”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/La-plataforma-Gamma-AI-abusada-en-la-cadena-de-phishing.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n<\/a><\/div>\n