Sikkerhedsforskere har afsløret Forg365, en phishing-as-a-service-platform (PhaaS), der bruger kunstig intelligens til at oprette phishing-kampagner rettet mod Microsoft 365-brugere.

Platformen kombinerer Adversary-in-the-Middle (AiTM)-angreb med Device Code Phishing for at kapre Microsoft 365-konti. Den indeholder også værktøjer, der gør det muligt for angribere at bevare langvarig adgang til kompromitterede konti, uden at ofrene skal logge ind igen.

Forg365 Kombinerer AI Med Avancerede Phishing-Metoder

Forskere hos e-mailsikkerhedsvirksomheden ZeroBEC opdagede Forg365, mens de undersøgte phishing-mails, der udgav sig for at være legitime forretningsdokumenter.

E-mailsene benyttede troværdig infrastruktur, herunder Amazon SES til udsendelse samt billeder og sporingsressourcer hostet af SendGrid. Dermed kunne phishing-kampagnerne falde naturligt ind i almindelig forretningstrafik.

Ifølge ZeroBEC tilbyder platformen en række avancerede funktioner, herunder:

  • Device Code Phishing
  • Adversary-in-the-Middle (AiTM)-phishing
  • AI-genererede phishing-mails
  • Håndtering af tokens og cookies
  • Kontoadministration efter kompromittering

Forskerne bemærker, at flere funktioner minder om dem, der findes i andre kendte phishing-as-a-service-platforme, herunder Kali365 og Sneaky2FA. De har dog ikke kunnet bekræfte en direkte forbindelse mellem platformene.

Kontrolpanel Automatiserer Phishing-Kampagner

Efter at have fået adgang til Forg365s administrationspanel fandt forskerne et komplet kontrolpanel, hvor operatørerne kan styre hele phishing-operationen fra én samlet grænseflade.

Via kontrolpanelet kan angribere:

  • Starte nye phishing-kampagner
  • Oprette og administrere phishing-links
  • Konfigurere OAuth-applikationer og SMTP-profiler
  • Gemme autentificeringstokens
  • Generere phishing-mails med indbyggede AI-værktøjer

AI-genererede phishing-mails bliver stadig mere udbredte. ZeroBEC mener dog, at Forg365 skiller sig ud, fordi AI-funktionerne er integreret direkte i administrationspanelet. Operatørerne kan derfor oprette, redigere og forbedre phishing-mails uden at forlade den grænseflade, de bruger til at administrere kompromitterede konti.

Forskerne vurderer, at AI både reducerer omkostningerne ved at udvikle overbevisende phishing-lokkemidler og gør det lettere at opbygge skræddersyede phishing-as-a-service-platforme.

Platformen Giver Langvarig Adgang

Forg365 indeholder også et kontrolpanel til kontoovervågning, som scanner kompromitterede indbakker for foruddefinerede nøgleord. Platformen sender derefter en advarsel til angriberne, når en e-mail matcher søgekriterierne.

En anden central funktion er ForgCookie, en browserudvidelse, der fungerer med Google Chrome, Microsoft Edge og Brave.

Udvidelsen opdaterer automatisk Microsofts Single Sign-On (SSO)-cookies ved at hente kontooplysninger fra Forg365s backend, slette eksisterende sessionscookies og derefter gennemføre et skjult OAuth-forløb for at indsamle nye autentificeringsoplysninger.

Dermed kan angriberne bevare adgangen til Microsoft-tjenester, der er knyttet til den kompromitterede konto, uden at offeret skal logge ind igen.

Forg365 Understøtter To Phishing-Metoder

Ifølge ZeroBEC benytter Forg365 to primære angrebsmetoder.

Den første bygger på Device Code Phishing, hvor angriberne misbruger Microsofts legitime OAuth 2.0-flow til enhedsgodkendelse. Offeret ser en side, der ligner en officiel Microsoft-verificeringsside, og bliver bedt om at indtaste en enhedskode.

I stedet for at stjæle adgangskoder narrer angriberne brugeren til at godkende en enhed, som de selv kontrollerer. Derefter får de adgang til offerets Microsoft-konto.

Den anden metode anvender AiTM-phishing. Platformen fungerer her som mellemled mellem Microsoft og offeret. Angriberne kan dermed opsnappe autentificeringstrafikken og stjæle gyldige sessionscookies efter login.

Beskyttelse Mod Analyse Skjuler Platformen

Forg365 indeholder flere funktioner, der skal forhindre sikkerhedsforskere i at analysere platformens infrastruktur.

Ifølge ZeroBEC benytter platformen AES-krypterede omdirigeringer, botdetektion, debugger-fælder, sandbox-detektion og polymorf kode for at vanskeliggøre analyse.

Platformen registrerer desuden VPN-forbindelser og omdirigerer besøgende til harmløst indhold i stedet for at vise phishing-sider eller administrationspanelet.

Forskerne oplyser også, at Forg365 bruger Amazon SES til udsendelse af phishing-mails, Cloudflare Pages til hosting af phishing-sider og Gophish til administration af kampagneudsendelser.

Sådan Kan Organisationer Beskytte Microsoft 365-Konti

ZeroBEC anbefaler, at organisationer begrænser eller deaktiverer Device Code Authentication i Microsoft, hvis funktionen ikke er nødvendig.

Sikkerhedsteams bør samtidig overvåge logfiler i Microsoft Entra for hændelser relateret til Device Code Authentication. Derudover bør de undersøge uventede regler i indbakken, nye enhedslogins, OAuth-tilladelser og aktivitet fra Microsoft Authentication Broker.

Hvis der opstår mistanke om, at en konto er blevet kompromitteret, bør administratorer straks tilbagekalde alle aktive sessioner og autentificeringstokens, før brugeren tvinges til at logge ind igen.


0 svar til “Forg365 Phishingplatform Bruger AI til at Målrette Microsoft 365-Konti”