🌟 Atualização imperdível para quem gosta de estar bem informado!

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova operação de phishing como serviço (PhaaS) chamada Forg365 se concentra no roubo de contas do Microsoft 365, combinando métodos de adversário no meio (AiTM) e código de dispositivo com geração de isca assistida por IA.

A plataforma também fornece uma extensão de navegador para acesso contínuo aos serviços da Microsoft vinculados às contas comprometidas, sem a necessidade de nova autenticação.

Pesquisadores da empresa de segurança de e-mail ZeroBEC dizem que muitos dos recursos do Forg365 estão presentes em outras plataformas PhaaS infames, como Kali365 e Sneaky2FA, embora não tenham conseguido estabelecer uma conexão.



A investigação começou analisando e-mails de phishing que se apresentavam como documentos comerciais, cuidadosamente elaborados para imitar um serviço confiável.

“O domínio do remetente observado usou a entrega do Amazon SES, enquanto o corpo da mensagem incluía imagem hospedada no SendGrid ou recursos de rastreamento”, diz ZeroBEC em um relatório hoje.

Esta combinação de serviços legítimos e infraestrutura de phishing indica uma operação PhaaS madura, capaz de combinar suas mensagens com o tráfego regular de e-mail.

A plataforma oferece phishing de código de dispositivo, phishing adversário no meio (AiTM), geração de conteúdo de e-mail assistida por IA, gerenciamento de tokens e cookies e operações pós-comprometimento.

Indo mais fundo, os pesquisadores obtiveram acesso ao painel Forg365, que permite criar novas campanhas de phishing, gerenciar links de phishing, configurar aplicativos OAuth e perfis SMTP, gerenciar tokens e gerar e-mails de phishing com a ajuda de IA.

O painel Forg365Fonte: ZeroBec

Embora o uso de IA na criação de iscas de phishing personalizadas não seja novo, os pesquisadores destacam que o recurso está diretamente integrado ao painel do Forg365, permitindo ao operador criar e-mails maliciosos, preparar o texto e refinar as mensagens no mesmo painel usado para controlar a atividade pós-comprometimento.

Segundo os pesquisadores, essa integração é estratégica, pois “a IA reduz o custo de desenvolvimento de conteúdo de phishing personalizado, mas também reduz o custo de construção de plataformas PhaaS personalizadas”.

Geração de conteúdo de e-mail assistida por IAFonte: ZeroBec

O painel também inclui um painel de inteligência de conta e um recurso de monitoramento de palavras-chave que verifica as caixas de correio comprometidas em busca de termos predefinidos, alertando os operadores sempre que uma correspondência é detectada.

Os operadores recebem uma extensão de navegador chamada ForgCookie que é compatível com Google Chrome, Microsoft Edge e Brave e foi projetada especificamente para atualizar automaticamente os cookies SSO da Microsoft.

A extensão funciona solicitando dados da conta do back-end do Forg365, limpando os cookies da sessão e acionando um fluxo OAuth silencioso para capturar os cookies novos.

Isso fornece ao invasor acesso persistente aos serviços Microsoft associados à conta da vítima.

A extensão ForgCookieFonte: ZeroBec

De acordo com ZeroBEC, o Forg365 oferece suporte a dois caminhos de ataque principais: o phishing de código de dispositivo de tendência e o phishing AiTM mais tradicional.

No primeiro caso, as vítimas recebem uma página de código de verificação estilo Microsoft e são instruídas a completar a autenticação usando o fluxo de código de dispositivo da Microsoft projetado para qualquer endpoint com restrições de entrada (por exemplo, smartTV, dispositivos IoT, ferramentas sem navegador).

Em vez de visar diretamente a senha da vítima, a vítima é enganada para autorizar um gadget controlado pelo invasor por meio do método legítimo de autenticação de fluxo de código do dispositivo OAuth 2.0.

O método de phishing de código de dispositivoFonte: ZeroBec

Para phishing AiTM, a plataforma utiliza um proxy para as solicitações de autenticação e dados trocados entre a infraestrutura da Microsoft e a conta alvo, capturando cookies de sessão no processo.

Para evitar que os pesquisadores acessem o painel de administração, o Forg365 possui um recurso AntiBot que possui “redirecionadores criptografados AES, detecção de bot, armadilhas de depurador, verificações de sandbox e código polimórfico”.

Além disso, quando uma conexão VPN é detectada, a plataforma redireciona para conteúdo inócuo em vez de expor as páginas de phishing.

ZeroBec relata que a plataforma aproveita o Amazon SES para entrega de e-mail de phishing e Cloudflare Pages para as landing pages. Além disso, a infraestrutura Gophish é usada para entrega de campanha.

Recomenda-se que os usuários restrinjam ou desabilitem a autenticação de código de dispositivo Microsoft, a menos que seja necessário, e monitorem os logs do Microsoft Entra para eventos de autenticação de código de dispositivo.

Regras de caixa de correio, novas entradas de dispositivos, atividade do Microsoft Authentication Broker e concessões OAuth também devem ser investigadas em busca de entradas inesperadas.

Se houver suspeita de comprometimento, todos os tokens e sessões deverão ser revogados e atualizados o mais rápido possível.







Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O resto se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a violação e
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #a #nova #plataforma #de #phishing #forg365 #usa #ia #para #atingir #contas #do #microsoft #365
🚀 Mais conteúdos incríveis estão por vir, fique atento!

Post a Comment