Главная страница » Индикаторы компрометации
0
9 дней
Индикаторы компрометации

Киберпреступники атакуют через Simplified AI для похищения учетных данные Microsoft 365

phishing

Исследовательская группа Cato CTRL Threat Research обнаружила новую фишинговую кампанию, в которой злоумышленники использовали платформу искусственного интеллекта Simplified AI для кражи корпоративных учетных данных. Атака, выявленная в июле 2025 года, была нацелена на американские организации, причем одна инвестиционная компания стала жертвой, однако угроза была своевременно нейтрализована.

Описание

Популярность маркетинговых платформ с искусственным интеллектом резко возросла, и такие сервисы, как Simplified AI, стали повседневными инструментами для создания контента и рекламных кампаний. Для руководителей информационной безопасности разрешение доступа к подобным платформам часто кажется стандартной процедурой: добавить домен в белый список и позволить командам работать. Однако в данном случае сама платформа, которой доверяют сотрудники, была использована для атаки.

В ходе кампании злоумышленники разместили фишинговую страницу на легитимном домене Simplified AI, что позволило им скрыть вредоносную активность среди обычного трафика. Они выдавали себя за исполнительного директора международной фармацевтической компании и рассылали письма с защищенным паролем PDF-документом. При открытии файла жертва перенаправлялась на сайт Simplified AI, который вместо генерации контента вел на поддельную страницу входа в Microsoft 365, предназначенную для сбора учетных данных.

Приманка PDF, демонстрирующая глобальный логотип фармацевтического дистрибьютора (отредактированный), название выдающегося руководителя (отредактированное) и ссылка на упрощенную платформу ИИ.

Эта атака демонстрирует опасную тенденцию: киберпреступники сочетают социальную инженерию с фишингом, используя доверие к платформам искусственного интеллекта. Они больше не полагаются на подозрительные серверы или домены-имитации, а злоупотребляют репутацией и инфраструктурой доверенных сервисов, что позволяет обойти традиционные средства защиты.

Технические детали атаки включают несколько etap. Сначала злоумышленники отправляли письмо с защищенным PDF-вложением, что позволяло обойти автоматические сканеры безопасности. Пароль для открытия файла был указан в теле письма, чтобы упростить взаимодействие. Внутри документа находилась ссылка на платформу Simplified AI, которая перенаправляла пользователя на фишинговую страницу, имитирующую вход в Microsoft 365. Любые введенные учетные данные передавались злоумышленникам.

Данная кампания подчеркивает, что традиционные методы защиты неэффективны против атак, использующих доверенные платформы и социальную инженерию. Решение заключается в комплексном подходе, включающем глубокий анализ трафика, мониторинг поведения и проверку репутации ресурсов.

Индикаторы компрометации

IPv4

  • 104.18.50.34

URLs

  • http://app.simplified.com/preview/911e411b-6f9b-41d0-845f-0cc291d07c7e
  • https://pub-6ea00088375b43ef869e692a8b2770d2.r2[.]dev/assets/php/endpoints/account.php
Комментарии: 0
Похожие записи
0
12.03.2025
Индикаторы компрометации

Ballista - новый IoT-ботнет, нацеленный на тысячи маршрутизаторов TP-Link Archer

botnet
В течение последних нескольких лет крупные IoT-ботнеты, такие как Mirai и Mozi, показали, насколько легко эксплуатировать маршрутизаторы. Изначально уязвимости редко обновляются, а производители маршрутизаторов
0
18.08.2025
Индикаторы компрометации

Летняя атака Oyster: как усовершенствованный загрузчик целенаправленно атакует технических специалистов

information security
Летние месяцы, традиционно считающиеся периодом снижения деловой активности, стали временем для изощренных кибератак. Группа угрозы Oyster, известная с 2024 года, запустила новую кампанию, нацеленную на