Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Lợi dụng Gamma AI Platform trong chuỗi tấn công phishing nhằm đánh cắp tài khoản Microsoft 365

Updated
5 min read
Lợi dụng Gamma AI Platform trong chuỗi tấn công phishing nhằm đánh cắp tài khoản Microsoft 365
L
Lưu Tuấn Anh

Tổng quan

Gamma AI Platform (hay thường gọi tắt là Gamma) là một nền tảng sử dụng trí tuệ nhân tạo (AI) để hỗ trợ người dùng tạo nội dung trực quan, chuyên nghiệp một cách nhanh chóng và dễ dàng. Một số chức năng chính của Gamma AI Platform

  • Tạo slide thuyết trình (như PowerPoint) với thiết kế đẹp mắt, tự động căn chỉnh bố cục và màu sắc.

  • Chuyển đổi văn bản dài thành các bản trình bày cô đọng, dễ hiểu.

  • Tạo tài liệu tương tác cho học tập, giới thiệu sản phẩm, kế hoạch dự án, v.v.

  • Cho phép nhúng hình ảnh, video, biểu đồ, và liên kết dễ dàng.

Trong thời gian gần đây phía FPT Threat Intelligence đã ghi nhận một chiến dịch tấn công tinh vi đã được thực hiện, tin tặc đã lợi dụng “Gamma AI Platform” để cung cấp một liên kết đến cổng thông tin đăng nhập Microsoft SharePoint lừa đảo. Lợi dụng việc người dùng có thể không quen thuộc với nền tảng do đó không nhận thức được tiềm năng khai thác của các mối nguy hại dẫn đến lộ lọt dữ liệu.

Mục tiêu của cuộc tấn công

  • Đánh cắp thông tin đăng nhập tài khoản Microsoft 365, đặc biệt là tài khoản liên quan đến SharePoint và OneDrive.

  • Từ đó, kẻ tấn công có thể truy cập dữ liệu nội bộ, lan truyền mã độc hoặc tiếp tục tấn công người khác trong cùng tổ chức.

Chi tiết chiến dịch

  • Theo các nhà phân tích, một Email độc hại ban đầu sẽ được gửi từ một tài khoản email hợp pháp đã được tin tặc lấy được từ các nguồn lộ lọt khác nhau

Gamma App Attack 1 Email E

  • Trong Email được gửi những kẻ tấn công đã lừa nạn nhân xem tệp được đính kèm trong đó. Theo các báo cáo phân tích cho thấy tên tệp thường bao gồm tên của công ty bị mạo danh. Tài liệu luôn được định dạng để xuất hiện dưới dạng tệp đính kèm PDF nhưng trong thực tế nó là một địa chỉ siêu liên kết để điều hướng người dùng.

  • Nếu người nhận nhấp vào PDF trong Email, họ được chuyển hướng đến một bài thuyết trình được lưu trữ trên Gamma do AI cung cấp.

Gamma App Attack 2 A Phishing Page Gamma Menu E

  • Khi nạn nhân click vào tài liệu, lập tức sẽ bị điều hướng đến một trang thông báo giả mạo Microsoft và Turnstile CloudFlare, một công cụ phát hiện bot không có captcha.

Gamma App Attack 3 Microsoft Cloudflare E

  • Sau khi nạn nhân đã hoàn tất quá trình xác thực, họ sẽ được đưa đến một trang lừa đảo được ngụy trang dưới dạng cổng thông tin đăng nhập Microsoft SharePoint. Tại đây, phần còn lại của trang web không thể truy cập được cho đến khi thông tin đăng nhập được nhập và bắt chước các mẫu UI của Microsoft.

Gamma App Attack 4 Microsoft Login E

  • Sau đó người dùng sẽ cần nhập địa chỉ email và nhấp vào phần tiếp theo chuyển hướng mục tiêu đến cổng thông tin đăng nhập gian lận thứ hai bằng lời nhắc nhập mật khẩu của họ.

Gamma App Attack 5 Microsoft Login PW E

  • Nếu thông tin đăng nhập không phù hợp được cung cấp, nó sẽ kích hoạt lỗi mật khẩu không chính xác, điều này cho thấy thủ phạm đang sử dụng một số loại đối thủ trong trung gian (AITM) để xác thực thông tin xác thực trong thời gian thực.

Gamma App Attack 6 Microsoft Login Wrong PW E

  • Khi người dùng đã nhập đúng thông tin, dữ liệu cá nhân của họ sẽ được tin tặc thu thập và gửi về hệ thống máy chủ C2. Sau đó, chúng sử dụng các phiên này để truy cập dữ liệu nội bộ như email, tệp, và thông tin nhạy cảm.

Khuyến nghị

  1. Bảo vệ tài khoản người dùng

    • Bật MFA nâng cao (Phishing-Resistant MFA):
      Sử dụng FIDO2, Windows Hello, hoặc xác thực bằng ứng dụng có push notification thay vì OTP SMS/email dễ bị đánh cắp.

    • Chặn đăng nhập bằng cookie bị đánh cắp:
      Thiết lập chính sách "Re-authentication on high-risk actions" trên Azure AD hoặc các hệ thống tương tự.

  2. Sử dụng công cụ bảo mật nâng cao

    • Microsoft Defender for Office 365 / Google Workspace Security:
      Phát hiện phishing, AiTM, và các liên kết độc hại thời gian thực.

    • Web Proxy / Secure Web Gateway (SWG): Chặn hoặc giám sát truy cập đến các domain như gamma.app hoặc các trang giả mạo đăng nhập Microsoft.

  3. Phòng chống phishing qua email

  4. Đào tạo nhận thức bảo mật

    • Nhận biết các kỹ thuật mới như:

      • Trình bày trông hợp pháp trên nền tảng AI (ví dụ: Gamma, Notion, Canva).

      • Trang xác thực có Turnstile hoặc CAPTCHA thật nhưng nội dung giả.

    • Tập huấn với tình huống thực tế có mô phỏng tấn công đa tầng.

Kết luận

Chiến dịch phishing đa tầng khai thác Gamma không chỉ là một ví dụ điển hình về sự sáng tạo và tinh vi của tội phạm mạng, mà còn là lời cảnh báo nghiêm túc đối với mọi tổ chức đang phụ thuộc vào các hệ thống số và nền tảng điện toán đám mây như Microsoft 365.

Bằng cách tận dụng một công cụ tưởng như “vô hại” – nền tảng trình bày AI Gamma – và kết hợp với kỹ thuật Adversary-in-the-Middle (AiTM) cùng Cloudflare Turnstile, kẻ tấn công đã thành công trong việc vượt qua cả các lớp phòng vệ truyền thống lẫn xác thực đa yếu tố (MFA).

Cuộc tấn công này cũng cho thấy rằng bảo mật kỹ thuật đơn thuần là chưa đủ. Ngay cả với MFA, nếu người dùng không được đào tạo kỹ lưỡng hoặc thiếu hiểu biết về các dấu hiệu lừa đảo mới, họ vẫn là mắt xích yếu nhất trong hệ thống. Việc kết hợp giữa công nghệ hiện đại, AI tạo nội dung, và chiến thuật xã hội học đã đưa phishing lên một tầm cao mới – không còn dễ nhận biết như trước kia.

Tham khảo

  1. Gamma AI Platform Abused in Phishing Chain to Spoof Microsoft SharePoint Logins

  2. Multi-Stage Phishing Attack Exploits AI-Powered Gamma | Abnormal AI

#ai#phishing#microsoft-sharepoints

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.