Sikkerhetsforskere har avdekket Forg365, en phishing-as-a-service-plattform (PhaaS) som bruker kunstig intelligens til å opprette phishing-kampanjer rettet mot Microsoft 365-brukere.
Plattformen kombinerer Adversary-in-the-Middle (AiTM)-angrep med Device Code Phishing for å kapre Microsoft 365-kontoer. Den inneholder også verktøy som gjør det mulig for angripere å opprettholde langvarig tilgang til kompromitterte kontoer uten at ofrene trenger å logge inn på nytt.
Forg365 Kombinerer AI Med Avanserte Phishing-Metoder
Forskere hos e-postsikkerhetsselskapet ZeroBEC oppdaget Forg365 da de undersøkte phishing-e-poster som utga seg for å være legitime forretningsdokumenter.
E-postene brukte pålitelig infrastruktur, blant annet Amazon SES for utsendelse og bilder samt sporingsressurser via SendGrid. Dermed kunne kampanjene gli inn i vanlig forretningstrafikk.
Ifølge ZeroBEC tilbyr plattformen en rekke avanserte funksjoner, blant annet:
- Device Code Phishing
- Adversary-in-the-Middle (AiTM)-phishing
- AI-genererte phishing-e-poster
- Håndtering av tokens og informasjonskapsler (cookies)
- Kontoadministrasjon etter kompromittering
Forskerne påpeker at flere funksjoner ligner dem som finnes i andre kjente phishing-as-a-service-plattformer, blant annet Kali365 og Sneaky2FA. De har imidlertid ikke funnet noen direkte forbindelse mellom dem.
Kontrollpanel Automatiserer Phishing-Kampanjer
Etter å ha fått tilgang til Forg365s administrasjonspanel oppdaget forskerne et komplett kontrollpanel som lar operatørene administrere hele phishing-operasjonen fra ett grensesnitt.
Gjennom panelet kan angripere:
- Starte nye phishing-kampanjer
- Opprette og administrere phishing-lenker
- Konfigurere OAuth-applikasjoner og SMTP-profiler
- Lagrer autentiseringstokener
- Generere phishing-e-poster med innebygde AI-verktøy
AI-genererte phishing-e-poster blir stadig vanligere. ZeroBEC mener likevel at Forg365 skiller seg ut fordi AI-funksjonene er integrert direkte i kontrollpanelet. Operatørene kan dermed opprette, redigere og forbedre phishing-meldinger uten å forlate grensesnittet de bruker til å administrere kompromitterte kontoer.
Forskerne mener at AI både reduserer kostnadene ved å lage overbevisende phishing-meldinger og gjør det enklere å utvikle egne phishing-as-a-service-plattformer.
Plattformen Gir Langvarig Tilgang
Forg365 inneholder også et kontrollpanel for kontoinformasjon som overvåker kompromitterte innbokser etter forhåndsdefinerte nøkkelord. Plattformen varsler angriperne når en e-post inneholder et treff.
En annen sentral funksjon er ForgCookie, en nettleserutvidelse som fungerer med Google Chrome, Microsoft Edge og Brave.
Utvidelsen oppdaterer automatisk Microsofts Single Sign-On (SSO)-cookies ved å hente kontoinformasjon fra Forg365s backend, slette eksisterende øktcookies og deretter fullføre en stille OAuth-prosess for å hente nye autentiseringsopplysninger.
På denne måten kan angriperne beholde tilgangen til Microsoft-tjenestene som er knyttet til den kompromitterte kontoen uten at offeret må logge inn på nytt.
Forg365 Støtter To Phishing-Metoder
Ifølge ZeroBEC bruker Forg365 to hovedmetoder.
Den første bygger på Device Code Phishing, der angriperne misbruker Microsofts legitime OAuth 2.0-flyt for enhetsautentisering. Offeret ser det som ser ut til å være en offisiell bekreftelsesside fra Microsoft og blir bedt om å skrive inn en enhetskode.
I stedet for å stjele passord lurer angriperne brukeren til å godkjenne en enhet de selv kontrollerer. Deretter får de tilgang til offerets Microsoft-konto.
Den andre metoden benytter AiTM-phishing. Plattformen fungerer da som et mellomledd mellom Microsoft og offeret. Angriperne kan dermed avskjære autentiseringstrafikken og stjele gyldige øktcookies etter innlogging.
Beskyttelse Mot Analyse Skjuler Plattformen
Forg365 inneholder flere funksjoner som skal gjøre det vanskeligere for sikkerhetsforskere å analysere infrastrukturen.
Ifølge ZeroBEC bruker plattformen AES-krypterte omdirigeringer, botdeteksjon, debugger-feller, sandbox-deteksjon og polymorf kode for å hindre analyse.
Plattformen oppdager også VPN-tilkoblinger og sender besøkende videre til ufarlig innhold i stedet for å vise phishing-sider eller administrasjonspanelet.
Forskerne opplyser også at Forg365 bruker Amazon SES til å sende phishing-e-poster, Cloudflare Pages til å hoste phishing-sider og Gophish til å administrere kampanjeutsendelser.
Slik Kan Organisasjoner Beskytte Microsoft 365-Kontoer
ZeroBEC anbefaler organisasjoner å begrense eller deaktivere Device Code Authentication i Microsoft dersom funksjonen ikke er nødvendig.
Sikkerhetsteam bør også overvåke logger i Microsoft Entra for hendelser knyttet til Device Code Authentication. I tillegg bør de undersøke uventede regler i innboksen, nye enhetspålogginger, OAuth-tillatelser og aktivitet fra Microsoft Authentication Broker.
Dersom det er mistanke om at en konto er kompromittert, bør administratorer umiddelbart tilbakekalle alle aktive økter og autentiseringstokener før brukeren blir bedt om å logge inn på nytt.


0 responses to “Forg365 Phishingplattform Bruker AI for Å Angripe Microsoft 365-Kontoer”