Een nieuw phishing-as-a-service (PhaaS) platform genaamd Forg365 richt zich op Microsoft 365-accounts door gebruik te maken van device code phishing, adversary-in-the-middle (AitM) technieken, antibot maatregelen, AI-ondersteunde lokmiddelen en post-compromise mailboxactiviteiten. Het platform wordt verspreid via Telegram en kost 400 dollar per maand of 3800 dollar per jaar. De aanvalsketens maken gebruik van phishinglokmiddelen die legitieme e-mailinfrastructuur zoals Amazon Simple Email Service (Amazon SES) en Twilio SendGrid inzetten om een omleidingsketen te creëren die op reguliere e-mailverkeer lijkt, alvorens te eindigen op door Forg365 gecontroleerde domeinen.

Volgens het beveiligingsbedrijf ZeroBAC omvat het platform een geavanceerde workflow met functies zoals accountbeheer, linkgeneratie, OAuth-appconfiguratie, campagnebeheer, SMTP-rotatie, AI-gegenereerde e-mails, tokenbeheer en browserextensie-ondersteuning. Forg365 vertoont overeenkomsten met eerdere phishingkits zoals Kali365 en Sneaky 2FA, waarbij het businessmodel is geïndustrialiseerd en onder een abonnementsvorm phishingcampagnes op grote schaal en met weinig technische kennis kunnen worden uitgevoerd. De aanvallen gebruiken vaak zakelijke documenten of betalingsgoedkeuringen als lokmiddelen, waarbij Amazon SES wordt ingezet voor verzending en SendGrid voor het hosten van afbeeldingen of tracking.

Gebruikers die zich via Telegram registreren, krijgen toegang tot een operatorpaneel op het clearnet, waar zij lokmiddelen kunnen aanmaken, campagnes kunnen opzetten en gestolen tokens kunnen beheren. Forg365 bevat een device-auth phishingmodule die een Microsoft-achtige verificatiecodepagina toont en slachtoffers doorstuurt naar een legitieme Microsoft Authentication Broker inlogstroom. Hoewel slachtoffers echte Microsoft authenticatiepagina’s zien, verleent de code toegang aan een aanvallersessie. Voor AitM phishing maakt het platform gebruik van route tokens, sessiecookies en verkeersclassificatie om te bepalen of phishingcontent of een onschuldige decoy wordt getoond. Bij detectie van een VPN wordt de gebruiker omgeleid naar onschadelijke inhoud.

Een opvallend onderdeel van Forg365 is de browserextensie ForgCookie voor Chromium-gebaseerde browsers zoals Google Chrome, Microsoft Edge en Brave. Deze extensie zorgt voor automatische vernieuwing van SSO-cookies voor Microsoft-diensten en faciliteert daarmee blijvende toegang tot gecompromitteerde accounts. De extensie werkt door accountgegevens op te vragen, sessiecookies te wissen, vernieuwde tokens in te voegen en een stille OAuth-stroom te activeren om Microsoft-cookies te verkrijgen.

Forg365 gaat verder dan alleen het verzamelen van credentials en tokens. Het platform ondersteunt diverse post-compromise acties, zoals het monitoren van specifieke trefwoorden in gecompromitteerde mailboxen en het opstellen van geautomatiseerde reacties met behulp van AI. Dit verlaagt de technische drempel voor aanvallers en verhoogt de operationele consistentie, waarbij minder ervaren gebruikers gebruik kunnen maken van vooraf gebouwde templates en gevorderde operators uitgebreide aanpassingen kunnen doorvoeren.