18/04/25
В ходе атаки жертвы перенаправляются на поддельную страницу входа Microsoft SharePoint, где у них крадут учётные данные.
Исследователи из Abnormal Security сообщили, что PDF-файл, вложенный в электронное письмо, на самом деле является ссылкой на презентацию Gamma, замаскированную под просмотр защищённых документов. При переходе по ссылке жертва попадает на промежуточную страницу, имитирующую сервис Microsoft и снабжённую CAPTCHA-защитой Cloudflare Turnstile. Это создаёт впечатление легитимности и снижает вероятность автоматического анализа безопасности.
Следующим этапом становится редирект на фальшивую страницу входа Microsoft SharePoint, где атакующие с помощью механизма Adversary-in-the-Middle (AitM) проверяют учётные данные в реальном времени, выдавая сообщение об ошибке при введении неправильного пароля, пишет Securitylab.
Подобные атаки относятся к категории «Living-off-Trusted-Sites» (LoTS) — они используют обычные онлайн-услуги для хостинга вредоносного контента, позволяя обходить проверки SPF, DKIM и DMARC, поясняет Securitylab. За счёт использования менее известных инструментов, таких как Gamma, злоумышленники избегают систем автоматического обнаружения и обмана пользователей. Презентационная платформа становится не просто средством маскировки, но и частью целой цепочки перенаправлений, скрывающей истинную цель атаки.
