Operasi phishing-as-a-service (PhaaS) baru yang disebut Forg365 berfokus pada pencurian akun Microsoft 365 dengan menggabungkan metode adversary-in-the-middle (AiTM) dan kode perangkat dengan pembuatan umpan yang dibantu AI.
Platform ini juga menyediakan ekstensi browser untuk akses berkelanjutan ke layanan Microsoft yang ditautkan ke akun yang disusupi tanpa perlu mengautentikasi ulang.
Para peneliti di perusahaan keamanan email ZeroBEC mengatakan bahwa banyak fitur di Forg365 hadir di platform PhaaS terkenal lainnya seperti Kali365 Dan Licik2FAmeskipun mereka tidak dapat membuat sambungan.
Investigasi mereka dimulai dengan menganalisis email phishing yang menyamar sebagai dokumen bisnis, yang dibuat dengan cermat untuk meniru layanan tepercaya.
“Domain pengirim yang diamati menggunakan pengiriman Amazon SES, sedangkan isi pesan menyertakan gambar atau sumber daya pelacakan yang dihosting SendGrid,” kata ZeroBEC dalam laporan hari ini.
Kombinasi layanan sah dan infrastruktur phishing ini menunjukkan operasi PhaaS yang matang dan mampu memadukan pesan-pesannya ke dalam lalu lintas email reguler.
Platform ini memiliki fitur phishing kode perangkat, phishing musuh di tengah (AiTM), pembuatan konten email dengan bantuan AI, manajemen token dan cookie, serta operasi pasca-kompromi.
Menggali lebih dalam, para peneliti memperoleh akses ke dasbor Forg365, yang memungkinkan pembuatan kampanye phishing baru, mengelola tautan phishing, mengonfigurasi aplikasi OAuth dan profil SMTP, mengelola token, dan menghasilkan email phishing dengan bantuan AI.
Sumber: ZeroBec
Meskipun penggunaan AI dalam membuat umpan phishing khusus bukanlah hal baru, para peneliti menyoroti bahwa fitur tersebut terintegrasi langsung di panel Forg365, memungkinkan operator membuat email berbahaya, menyiapkan teks, dan menyaring pesan dari dasbor yang sama yang digunakan untuk mengontrol aktivitas pasca-kompromi.
Menurut para peneliti, integrasi ini bersifat strategis, karena “AI mengurangi biaya pengembangan konten phishing khusus, namun juga mengurangi biaya pembuatan platform PhaaS khusus.”
Sumber: ZeroBec
Panel ini juga mencakup dasbor intelijen akun dan fitur pemantauan kata kunci yang memindai kotak surat yang disusupi untuk mencari istilah yang telah ditentukan sebelumnya, memperingatkan operator setiap kali kecocokan terdeteksi.
Operator diberikan ekstensi browser yang disebut ForgCookie yang kompatibel dengan Google Chrome, Microsoft Edge, dan Brave, dan dirancang khusus untuk menyegarkan cookie Microsoft SSO secara otomatis.
Ekstensi ini bekerja dengan meminta data akun dari backend Forg365, menghapus cookie sesi, dan memicu aliran OAuth senyap untuk mengambil cookie baru.
Hal ini memberikan penyerang akses terus-menerus ke layanan Microsoft yang terkait dengan akun korban.
Sumber: ZeroBec
Menurut ZeroBEC, Forg365 mendukung dua jalur serangan utama: phishing kode perangkat yang sedang tren dan phishing AiTM yang lebih tradisional.
Dalam kasus pertama, korban diperlihatkan halaman kode verifikasi gaya Microsoft dan diinstruksikan untuk menyelesaikan otentikasi menggunakan aliran kode perangkat Microsoft yang dirancang untuk titik akhir mana pun dengan batasan input (misalnya smartTV, peralatan IoT, alat tanpa browser).
Daripada menargetkan sandi korban secara langsung, korban ditipu untuk mengotorisasi gadget yang dikendalikan penyerang melalui metode autentikasi aliran kode perangkat OAuth 2.0 yang sah.
Sumber: ZeroBec
Untuk phishing AiTM, platform menggunakan proksi untuk permintaan autentikasi dan pertukaran data antara infrastruktur Microsoft dan akun target, sehingga menangkap cookie sesi dalam prosesnya.
Untuk mencegah peneliti mengakses panel administrasi, Forg365 memiliki fitur AntiBot yang menawarkan “pengalih terenkripsi AES, deteksi bot, perangkap debugger, pemeriksaan kotak pasir, dan kode polimorfik.”
Selain itu, ketika koneksi VPN terdeteksi, platform mengalihkan ke konten yang tidak berbahaya alih-alih mengekspos halaman phishing.
ZeroBec melaporkan bahwa platform tersebut memanfaatkan Amazon SES untuk pengiriman email phishing dan Halaman Cloudflare untuk halaman arahan. Selain itu, infrastruktur Gophish digunakan untuk penyampaian kampanye.
Pengguna disarankan untuk membatasi atau menonaktifkan otentikasi kode perangkat Microsoft kecuali diperlukan dan memantau log Microsoft Entra untuk peristiwa otentikasi kode perangkat.
Aturan kotak surat, proses masuk perangkat baru, aktivitas Microsoft Authentication Broker, dan pemberian OAuth juga harus diselidiki untuk entri yang tidak diharapkan.
Jika diduga ada kompromi, semua token dan sesi harus dicabut dan disegarkan sesegera mungkin.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
