Uma nova operação de phishing-as-a-service (PhaaS) chamada Forg365 está focada em roubar contas do Microsoft 365, combinando métodos de adversário-no-meio (AiTM) e código de dispositivo com geração de iscas assistida por IA. A plataforma também fornece uma extensão de navegador para acesso contínuo aos serviços Microsoft vinculados às contas comprometidas, sem necessidade de reautenticação.
Os pesquisadores da empresa de segurança de e-mail ZeroBEC iniciaram a investigação analisando e-mails de phishing que se passavam por documentos comerciais, criados para imitar um serviço confiável. A combinação de serviços legítimos (como Amazon SES e SendGrid) com infraestrutura de phishing indica uma operação PhaaS madura, capaz de misturar suas mensagens ao tráfego de e-mail regular.
Recursos e funcionamento
A plataforma inclui phishing com código de dispositivo, phishing AiTM, geração de conteúdo de e-mail assistida por IA, gerenciamento de tokens e cookies, e operações pós-comprometimento. O painel do Forg365 permite criar novas campanhas de phishing, gerenciar links, configurar aplicativos OAuth e perfis SMTP, gerenciar tokens e gerar e-mails de phishing com auxílio de IA.
Os pesquisadores destacam que a integração da IA no painel é estratégica: “A IA reduz o custo de desenvolvimento de conteúdo de phishing personalizado, mas também reduz o custo de construção de plataformas PhaaS personalizadas.” O painel também inclui um painel de inteligência de contas e um recurso de monitoramento de palavras-chave que verifica caixas de correio comprometidas em busca de termos predefinidos.
Os operadores recebem uma extensão de navegador chamada ForgCookie, compatível com Google Chrome, Microsoft Edge e Brave, projetada para atualizar automaticamente cookies de SSO da Microsoft. A extensão solicita dados de conta do backend do Forg365, limpa cookies de sessão e aciona um fluxo OAuth silencioso para capturar novos cookies, proporcionando ao atacante acesso persistente aos serviços Microsoft associados à conta da vítima.
Métodos de ataque e recomendações
O Forg365 suporta duas rotas principais: phishing com código de dispositivo (que engana a vítima para autorizar um dispositivo controlado pelo atacante via fluxo OAuth 2.0 legítimo) e phishing AiTM (que usa um proxy para capturar cookies de sessão). Para dificultar a análise, a plataforma possui um recurso AntiBot com “redirecionadores criptografados com AES, detecção de bots, armadilhas de depurador, verificações de sandbox e código polimórfico”. Quando uma conexão VPN é detectada, a plataforma redireciona para conteúdo inócuo.
A ZeroBEC recomenda restringir ou desabilitar a autenticação com código de dispositivo da Microsoft, a menos que seja necessária, e monitorar os logs do Microsoft Entra em busca de eventos de autenticação com código de dispositivo. Regras de caixa de correio, novos logins de dispositivos, atividade do Microsoft Authentication Broker e concessões OAuth também devem ser investigados. Se houver suspeita de comprometimento, todos os tokens e sessões devem ser revogados e atualizados o mais rápido possível.






