Sicherheitsforscher haben Forg365 entdeckt, eine Phishing-as-a-Service-Plattform (PhaaS), die künstliche Intelligenz nutzt, um Phishing-Kampagnen gegen Microsoft-365-Nutzer zu erstellen.
Die Plattform kombiniert Adversary-in-the-Middle (AiTM)-Angriffe mit Device Code Phishing, um Microsoft-365-Konten zu übernehmen. Darüber hinaus enthält sie Werkzeuge, mit denen Angreifer dauerhaft auf kompromittierte Konten zugreifen können, ohne dass sich die Opfer erneut anmelden müssen.
Forg365 Kombiniert KI Mit Fortgeschrittenen Phishing-Techniken
Forscher des E-Mail-Sicherheitsunternehmens ZeroBEC entdeckten Forg365 bei der Untersuchung von Phishing-E-Mails, die als legitime Geschäftsdokumente getarnt waren.
Die Nachrichten nutzten vertrauenswürdige Infrastruktur, darunter Amazon SES für den Versand sowie von SendGrid gehostete Bilder und Tracking-Ressourcen. Dadurch fügten sich die Phishing-E-Mails unauffällig in den normalen geschäftlichen E-Mail-Verkehr ein.
Laut ZeroBEC bietet die Plattform unter anderem folgende Funktionen:
- Device Code Phishing
- Adversary-in-the-Middle (AiTM)-Phishing
- KI-generierte Phishing-E-Mails
- Verwaltung von Tokens und Cookies
- Kontoverwaltung nach einer Kompromittierung
Die Forscher weisen darauf hin, dass mehrere Funktionen denen anderer bekannter Phishing-as-a-Service-Plattformen wie Kali365 und Sneaky2FA ähneln. Einen direkten Zusammenhang konnten sie jedoch nicht nachweisen.
Dashboard Automatisiert Phishing-Kampagnen
Nachdem die Forscher Zugriff auf das Administrationspanel von Forg365 erhalten hatten, fanden sie ein vollständig ausgestattetes Dashboard, über das Betreiber ihre gesamte Phishing-Infrastruktur zentral verwalten können.
Über das Dashboard können Angreifer:
- neue Phishing-Kampagnen starten,
- Phishing-Links erstellen und verwalten,
- OAuth-Anwendungen und SMTP-Profile konfigurieren,
- Authentifizierungstokens speichern,
- Phishing-E-Mails mit integrierten KI-Werkzeugen erstellen.
KI-generierte Phishing-E-Mails sind inzwischen weit verbreitet. ZeroBEC betont jedoch, dass sich Forg365 dadurch abhebt, dass die KI direkt in das Verwaltungsdashboard integriert ist. Dadurch können Angreifer Phishing-Nachrichten erstellen, bearbeiten und optimieren, ohne die Oberfläche zur Verwaltung kompromittierter Konten verlassen zu müssen.
Nach Einschätzung der Forscher senkt die KI sowohl die Kosten für die Erstellung überzeugender Phishing-Köder als auch den Aufwand für die Entwicklung eigener Phishing-as-a-Service-Plattformen.
Plattform Ermöglicht Dauerhaften Zugriff
Forg365 verfügt außerdem über ein Dashboard zur Kontoüberwachung, das kompromittierte Postfächer nach vordefinierten Schlüsselwörtern durchsucht. Sobald passende E-Mails eingehen, erhalten die Angreifer automatisch eine Benachrichtigung.
Eine weitere wichtige Komponente ist ForgCookie, eine Browser-Erweiterung für Google Chrome, Microsoft Edge und Brave.
Die Erweiterung erneuert automatisch Microsoft-Single-Sign-On (SSO)-Cookies, indem sie Kontoinformationen vom Forg365-Backend abruft, vorhandene Sitzungscookies löscht und anschließend im Hintergrund einen OAuth-Anmeldevorgang durchführt, um neue Authentifizierungsdaten zu erfassen.
Dadurch können Angreifer dauerhaft auf die mit dem kompromittierten Konto verknüpften Microsoft-Dienste zugreifen, ohne das Opfer erneut zur Anmeldung auffordern zu müssen.
Forg365 Unterstützt Zwei Phishing-Methoden
Laut ZeroBEC unterstützt Forg365 zwei zentrale Angriffstechniken.
Die erste Methode nutzt Device Code Phishing und missbraucht den legitimen OAuth-2.0-Geräteautorisierungsprozess von Microsoft. Dem Opfer wird eine vermeintlich offizielle Microsoft-Verifizierungsseite angezeigt, auf der es einen Gerätecode eingeben soll.
Anstatt Passwörter direkt zu stehlen, verleiten die Angreifer das Opfer dazu, ein von ihnen kontrolliertes Gerät zu autorisieren. Anschließend erhalten sie Zugriff auf das Microsoft-Konto des Opfers.
Die zweite Methode basiert auf AiTM-Phishing. Dabei fungiert die Plattform als Vermittler zwischen Microsoft und dem Opfer. Auf diese Weise können Angreifer den Authentifizierungsverkehr abfangen und nach der Anmeldung gültige Sitzungscookies stehlen.
Schutzmechanismen Erschweren Analysen
Forg365 enthält mehrere Funktionen, die Sicherheitsforschern die Analyse der Plattform erschweren sollen.
Nach Angaben von ZeroBEC nutzt die Plattform AES-verschlüsselte Weiterleitungen, Bot-Erkennung, Debugger-Fallen, Sandbox-Erkennung und polymorphen Code, um Untersuchungen zu behindern.
Außerdem erkennt die Plattform VPN-Verbindungen und leitet Besucher auf harmlose Inhalte um, anstatt Phishing-Seiten oder das Administrationspanel anzuzeigen.
Die Forscher stellten außerdem fest, dass Forg365 Amazon SES für den Versand von Phishing-E-Mails, Cloudflare Pages zum Hosting der Phishing-Seiten und Gophish für die Verwaltung der Kampagnen nutzt.
So Können Unternehmen Microsoft-365-Konten Schützen
ZeroBEC empfiehlt Unternehmen, Device Code Authentication in Microsoft einzuschränken oder vollständig zu deaktivieren, sofern die Funktion nicht benötigt wird.
Sicherheitsteams sollten außerdem die Protokolle in Microsoft Entra auf Ereignisse im Zusammenhang mit Device Code Authentication überwachen. Ebenso sollten sie unerwartete Postfachregeln, neue Geräteanmeldungen, OAuth-Berechtigungen und Aktivitäten des Microsoft Authentication Broker untersuchen.
Besteht der Verdacht auf eine Kontokompromittierung, sollten Administratoren unverzüglich alle aktiven Sitzungen und Authentifizierungstokens widerrufen, bevor sich die betroffenen Benutzer erneut anmelden.


0 Kommentare zu „Forg365-Phishing-Plattform Nutzt KI, Um Microsoft-365-Konten Anzugreifen“