Een nieuw phishing-as-a-service (PhaaS) platform genaamd Forg365 richt zich op het stelen van Microsoft 365-accounts door een combinatie van adversary-in-the-middle (AiTM) en device-code phishingmethoden te gebruiken, ondersteund door AI-gegenereerde lokmiddelen. Het platform biedt daarnaast een browserextensie die aanvallers in staat stelt om toegang tot de gecompromitteerde Microsoft-diensten te behouden zonder opnieuw te hoeven inloggen.
Onderzoekers van het e-mailbeveiligingsbedrijf ZeroBEC ontdekten dat Forg365 veel kenmerken deelt met andere bekende PhaaS-platforms zoals Kali365 en Sneaky2FA, hoewel er geen directe koppeling kon worden vastgesteld. De analyse begon met phishingmails die zich voordeden als zakelijke documenten en zorgvuldig waren ontworpen om vertrouwde diensten na te bootsen. Volgens ZeroBEC gebruikte de afzender domeinen die Amazon SES voor verzending inzetten, terwijl afbeeldingen en trackingelementen via SendGrid werden geladen. Deze combinatie van legitieme diensten en phishinginfrastructuur wijst op een geavanceerde PhaaS-operatie die haar berichten moeiteloos in reguliere e-mailstromen kan mengen.
Forg365 ondersteunt device-code phishing, AiTM phishing, AI-ondersteunde e-mailinhoudsgeneratie, token- en cookiebeheer en post-compromise activiteiten. De onderzoekers kregen toegang tot het Forg365-dashboard, waar nieuwe phishingcampagnes kunnen worden opgezet, phishinglinks beheerd, OAuth-apps en SMTP-profielen geconfigureerd, tokens gemanaged en phishingmails met AI-hulp gegenereerd kunnen worden. De integratie van AI in het dashboard stelt aanvallers in staat om malafide e-mails te creëren en te verfijnen binnen hetzelfde platform dat ook de controle over gecompromitteerde accounts faciliteert. Dit verlaagt de kosten voor het ontwikkelen van maatwerk phishingcontent en PhaaS-platforms aanzienlijk.
Daarnaast bevat het dashboard een accountintelligentie-overzicht en een zoekfunctie die gecompromitteerde mailboxen scant op vooraf ingestelde trefwoorden, waarbij operators direct worden gewaarschuwd bij een match. Aanvallers krijgen een browserextensie genaamd ForgCookie, compatibel met Google Chrome, Microsoft Edge en Brave, die automatisch Microsoft SSO-cookies vernieuwt. Deze extensie vraagt accountgegevens op bij de Forg365-backend, verwijdert sessiecookies en start een stille OAuth-flow om nieuwe cookies te bemachtigen, waardoor de aanvaller langdurige toegang tot de Microsoft-diensten van het slachtoffer behoudt.
Volgens ZeroBEC ondersteunt Forg365 twee hoofdvormen van aanvallen: device-code phishing en AiTM phishing. Bij device-code phishing wordt het slachtoffer een Microsoft-achtige verificatiecodepagina getoond en gevraagd om authenticatie via de device-code flow, bedoeld voor apparaten met beperkte invoermogelijkheden. Hierbij wordt het slachtoffer misleid om een door de aanvaller gecontroleerd apparaat te autoriseren via de legitieme OAuth 2.0 authenticatiemethode, zonder direct het wachtwoord te stelen. Bij AiTM phishing fungeert het platform als proxy tussen Microsoft en het doelaccount, waarbij authenticatieverzoeken en uitgewisselde data worden onderschept en sessiecookies worden gevangen.
Om te voorkomen dat onderzoekers toegang krijgen tot het beheerpaneel, beschikt Forg365 over een AntiBot-functie met onder meer AES-versleutelde redirects, botdetectie, debuggertraps, sandboxcontroles en polymorfe code. Ook detecteert het platform VPN-verbindingen om verdachte toegang te blokkeren.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *