Alerta: Forg365 PhaaS ataca Microsoft 365 con robo de sesiones y códigos de dispositivo

Publicado el

Introducción

Forg365 es un nuevo phishing como servicio (PhaaS) que se dirige a las cuentas de Microsoft 365 utilizando tácticas avanzadas de phishing y adversario en el medio (AitM). Este servicio, que se distribuye a través de Telegram y cuesta 400 dólares al mes o 3,800 dólares al año, permite a los atacantes llevar a cabo campañas de phishing de manera más eficiente y accesible.

Mecanismos de ataque

El kit de herramientas de Forg365 combina phishing de códigos de dispositivo, evasión de antibots y la creación de señuelos asistida por IA. Utiliza infraestructura de entrega de correos electrónicos legítima, como Amazon SES y Twilio SendGrid, para imitar cadenas de redirección que se mezclan con el tráfico de correo electrónico habitual.

Según ZeroBAC, la plataforma proporciona un flujo de trabajo maduro que incluye: gestión de cuentas, configuración de aplicaciones OAuth, generación de enlaces de redirección, y creación de correos electrónicos con IA, entre otros. Esto refleja la industrialización del modelo de negocio, permitiendo incluso a actores de amenazas con poca experiencia técnica orquestar campañas de phishing a gran escala.

Estrategias de engaño

Las cadenas de ataque observadas utilizan señuelos relacionados con documentos empresariales o aprobaciones de remesas para engañar a los destinatarios y que hagan clic en enlaces maliciosos. El dominio del remitente utiliza Amazon SES para la entrega, mientras que el cuerpo del mensaje incluye imágenes o recursos de seguimiento alojados en SendGrid.

Los clientes que se registran con éxito en Telegram acceden a un panel de operador en la red clara, desde donde pueden generar señuelos y gestionar campañas. Forg365 incluye una rama de phishing de autenticación de dispositivos que presenta una página de verificación al estilo de Microsoft, empujando a la víctima hacia un flujo de inicio de sesión legítimo, aunque el código autoriza una sesión controlada por el atacante.

Técnicas AitM

Para el phishing AitM, la plataforma utiliza tokens de ruta y cookies de sesión para decidir si servir contenido de phishing o un señuelo benigno. Si se detecta una conexión VPN, el kit redirige a contenido de señuelo inocuo en lugar de exponer las páginas de phishing, aumentando así su efectividad.

Extensión ForgCookie

Una característica notable de Forg365 es la extensión ForgCookie para navegadores basados en Chromium, como Google Chrome y Microsoft Edge. Esta extensión está diseñada para mantener el acceso a las cuentas comprometidas, actuando como un intermediario entre la adquisición de tokens y el acceso del navegador. Realiza una serie de pasos para obtener cookies de sesión de Microsoft, facilitando acciones post-compromiso.

Acciones post-compromiso

Forg365 va más allá del simple robo de credenciales y tokens, facilitando una variedad de acciones tras el compromiso, como la monitorización de cuentas de correo electrónico comprometidas y la redacción de respuestas a correos utilizando asistencia de IA. Esto reduce el umbral de habilidades necesario y aumenta la consistencia operativa, permitiendo a afiliados menos experimentados utilizar plantillas preconstruidas.

Conclusión

La aparición de Forg365 representa un avance significativo en la forma en que se llevan a cabo los ataques de phishing, combinando múltiples técnicas para maximizar la efectividad. Con el aumento de este tipo de amenazas, es crucial que los usuarios de Microsoft 365 mantengan precauciones adecuadas y adopten medidas de seguridad robustas para proteger sus cuentas.

Fuente

Ver noticia original