🔥 Fique por dentro das novidades mais quentes do momento! 🔥

A notícia que você procurava está aqui!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova operação de phishing como serviço (PhaaS) chamada Forg365 está usando uma combinação de phishing de código de dispositivo, táticas de adversário no meio (AitM), evasão antibot, criação de isca assistida por inteligência artificial (IA) e operações de caixa de correio pós-comprometimento direcionadas a contas do Microsoft 365.

Distribuídas via Telegram e custando US$ 400 por mês (ou US$ 3.800 por ano), as cadeias de ataque aproveitam iscas de phishing que fazem uso de infraestrutura legítima de entrega de e-mail, como Amazon Simple Email Service (Amazon SES) e Twilio SendGrid, para imitar uma cadeia de redirecionamento que se mistura ao tráfego regular de e-mail antes de terminar em domínios controlados pelo Forg365.

“O painel expõe um fluxo de trabalho maduro do operador: contas, links, convites, configuração de aplicativo OAuth, links de redirecionamento, geração de SVG, envio de campanha, perfis SMTP, rotação SMTP, geração de e-mail de IA, armazenamento de token, inteligência de conta, alertas de palavras-chave, links de visualizador e suporte para extensão de navegador”, disse ZeroBAC.

A empresa de segurança de e-mail disse que o kit PhaaS é melhor entendido como semelhante ao ecossistema Kali365 (também conhecido como Octopi365 e Freedom365) e Sneaky 2FA, refletindo a industrialização do modelo de negócios, que agora combina criação de iscas, entrega, evasão, manipulação de token/sessão e operações pós-comprometimento em uma configuração baseada em assinatura que permite que até mesmo atores de ameaças com pouco ou nenhum conhecimento técnico orquestrem campanhas de phishing com esforço mínimo e em escala.

Cadeias de ataque usando Forg365 foram observadas usando iscas com tema de documentos comerciais ou aprovação de remessas para induzir os destinatários a clicar em links maliciosos. O domínio do remetente usa o Amazon SES para entrega, enquanto o corpo da mensagem contém imagens hospedadas pelo SendGrid ou recursos de rastreamento.

Os clientes que concluírem o registro no Telegram com sucesso utilizam um painel de operação acessível pela clearnet (“logfriend[.]com/login”), de onde podem gerar iscas, configurar campanhas e gerenciar tokens capturados.

“O Forg365 inclui um ramo de phishing de autenticação de dispositivo que apresenta uma página de código de verificação no estilo da Microsoft e empurra a vítima para um fluxo de login legítimo do Microsoft Authentication Broker”, explicou ZeroBAC. “A vítima vê superfícies reais de autenticação da Microsoft, mas o código autoriza uma sessão controlada pelo invasor.”

Para phishing AitM, a plataforma emprega tokens de rota, cookies de sessão e classificação de tráfego para determinar se deve servir conteúdo de phishing ou uma isca benigna. Se uma conexão VPN for detectada, o kit redireciona para conteúdo falso inócuo em vez de expor as páginas de phishing.

Um aspecto notável da plataforma Forg365 é que ela oferece uma extensão chamada ForgCookie para navegadores baseados em Chromium, como Google Chrome, Microsoft Edge e Brave, projetada para acesso contínuo às contas comprometidas. Descrito como uma “atualização automática de cookies SSO para serviços Microsoft”, o complemento atua como um intermediário entre a aquisição do token e o acesso do navegador, percorrendo as etapas listadas abaixo –

Solicita dados da conta do back-end do Forg365

Chama o endpoint de geração de cookies para uma conta selecionada

Limpa cookies de sessão da Microsoft

Injeta o cookie de credencial de token de atualização gerado no domínio de login da Microsoft

Aciona um fluxo OAuth silencioso

Captura cookies resultantes da Microsoft em domínios da Microsoft

O Forg365 vai além da simples coleta de credenciais e tokens para facilitar uma ampla gama de ações pós-comprometimento, incluindo o monitoramento de palavras-chave específicas em contas de e-mail comprometidas e a elaboração de uma resposta de mensagem para um tópico de e-mail específico usando a assistência da IA.

“O resultado é uma plataforma que reduz o limite de habilidade enquanto aumenta a consistência operacional. Afiliados menos experientes podem usar modelos pré-construídos, enquanto operadores mais capazes podem personalizar páginas de destino, alternar infraestrutura, gerenciar tokens, gerar material de cookies e monitorar contas comprometidas”, disse ZeroBAC.

A divulgação coincide com a descoberta de várias campanhas que empregam kits de phishing para roubo de credenciais -

Envio de alertas falsos de atividade de conta da Microsoft de uma conta de remetente SaaS de terceiros legítima, mas comprometida, para direcionar os usuários a páginas de phishing no estilo Sneaky 2FA para lançar uma cadeia de redirecionamento que leva ao host de phishing final, mas não antes de realizar verificações para decidir se o visitante é um usuário real.

Usando e-mails de phishing que direcionam os destinatários para um site hospedado no Canva, que então aciona o fluxo de phishing de código do dispositivo para sequestrar contas da Microsoft usando o kit de phishing Kali65. O kit suporta mais de 33 iscas diferentes, um pipeline de pagamento e um aplicativo de desktop chamado OctoLink Live (também conhecido como Kali365 Live) que abusa do token roubado para iniciar uma sessão do navegador Chromium e abrir a caixa de correio da vítima no OWA.
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #forg365 #phaas #tem #como #alvo #o #microsoft #365 #com #código #de #dispositivo #e #roubo #de #sessão #aitm
🎉 Obrigado por acompanhar, até a próxima notícia!

Post a Comment