Een nieuwe phishing-as-a-service (PhaaS)-operatie genaamd Forg365 maakt gebruik van een combinatie van phishing met apparaatcode, vijand-in-the-middle-tactieken (AitM), antibot-ontduiking, door kunstmatige intelligentie (AI) ondersteunde creatie van lokken en post-compromis-mailboxbewerkingen gericht op Microsoft 365-accounts.
De aanvalsketens worden verspreid via Telegram en kosten $400 per maand (of $3.800 per jaar) en maken gebruik van phishing-lokmiddelen die gebruik maken van legitieme e-mailbezorgingsinfrastructuur, zoals Amazon Simple Email Service (Amazon SES) en Twilio SendGrid, om een omleidingsketen te imiteren die opgaat in regulier e-mailverkeer voordat het eindigt in door Forg365 gecontroleerde domeinen.
“Het paneel laat een volwassen workflow van operators zien: accounts, links, uitnodigingen, OAuth-app-configuratie, omleidingslinks, SVG-generatie, campagneverzending, SMTP-profielen, SMTP-rotatie, AI-e-mailgeneratie, token-kluising, accountinformatie, trefwoordwaarschuwingen, viewerlinks en ondersteuning voor browserextensies”, aldus ZeroBAC.
Het e-mailbeveiligingsbedrijf zei dat de PhaaS-kit het best kan worden begrepen als vergelijkbaar met het Kali365 (ook bekend als Octopi365 en Freedom365) en Sneaky 2FA-ecosysteem, dat de industrialisatie van het bedrijfsmodel weerspiegelt, dat nu het samenbrengen van kunstaascreatie, levering, ontduiking, token-/sessieafhandeling en post-compromisoperaties combineert onder een op abonnementen gebaseerde opzet die zelfs bedreigingsactoren met weinig tot geen technische expertise in staat stelt om phishing-campagnes te orkestreren met minimale inspanning en tegen schaal.
Er is waargenomen dat aanvalsketens waarbij Forg365 wordt gebruikt, gebruik worden gemaakt van lokmiddelen met een bedrijfsdocument of goedkeuring van overmakingen om ontvangers te misleiden om op kwaadaardige links te klikken. Het afzenderdomein gebruikt Amazon SES voor bezorging, terwijl de berichttekst door SendGrid gehoste afbeeldingen of trackingbronnen bevat.
Klanten die de Telegram-registratie met succes voltooien, gebruiken een bedieningspaneel dat toegankelijk is via Clearnet (“logfriend(.)com/login”), van waaruit ze kunstaas kunnen genereren, campagnes kunnen opzetten en vastgelegde tokens kunnen beheren.
“Forg365 bevat een phishing-tak voor apparaatauthenticatie die een verificatiecodepagina in Microsoft-stijl presenteert en het slachtoffer in een legitieme aanmeldingsstroom van Microsoft Authentication Broker duwt”, legt ZeroBAC uit. “Het slachtoffer ziet echte Microsoft-authenticatieoppervlakken, maar de code autoriseert een door de aanvaller gecontroleerde sessie.”
Voor AitM-phishing maakt het platform gebruik van routetokens, sessiecookies en verkeersclassificatie om te bepalen of phishing-inhoud of een goedaardige lokvogel moet worden aangeboden. Als er een VPN-verbinding wordt gedetecteerd, wordt de kit omgeleid naar onschadelijke lokinhoud in plaats van dat de phishing-pagina’s worden blootgesteld.

Een opmerkelijk aspect van het Forg365-platform is dat het een extensie biedt met de naam ForgCookie voor Chromium-gebaseerde browsers zoals Google Chrome, Microsoft Edge en Brave, die is ontworpen voor voortdurende toegang tot de gecompromitteerde accounts. Beschreven als een “automatische SSO-cookievernieuwing voor Microsoft-services”, fungeert de add-on als tussenpersoon tussen de tokenverwerving en browsertoegang door de onderstaande stappen te doorlopen:
- Vraagt accountgegevens op van de Forg365-backend
- Roept het eindpunt voor het genereren van cookies aan voor een geselecteerd account
- Wist Microsoft-sessiecookies
- Injecteert de gegenereerde vernieuwingstoken-inloggegevenscookie in het Microsoft-inlogdomein
- Activeert een stille OAuth-stroom
- Legt resulterende Microsoft-cookies vast binnen Microsoft-domeinen
Forg365 gaat verder dan het eenvoudig verzamelen van inloggegevens en tokens om een breed scala aan post-compromisacties mogelijk te maken, waaronder het monitoren van specifieke trefwoorden in gecompromitteerde e-mailaccounts en het opstellen van een berichtreactie op een bepaalde e-mailthread met behulp van AI.
“Het resultaat is een platform dat de vaardigheidsdrempel verlaagt en tegelijkertijd de operationele consistentie vergroot. Minder ervaren affiliates kunnen vooraf gebouwde sjablonen gebruiken, terwijl meer capabele operators landingspagina’s kunnen aanpassen, infrastructuur kunnen roteren, tokens kunnen beheren, cookiemateriaal kunnen genereren en gecompromitteerde accounts kunnen monitoren”, aldus ZeroBAC.
De onthulling valt samen met de ontdekking van verschillende campagnes waarbij gebruik is gemaakt van phishing-kits voor diefstal van inloggegevens.
- Het verzenden van valse Microsoft-accountactiviteitswaarschuwingen vanaf een legitiem maar gecompromitteerd SaaS-afzenderaccount van derden om gebruikers naar Sneaky 2FA-achtige phishing-pagina’s te leiden om een omleidingsketen te starten die naar de uiteindelijke phishing-host leidt, maar niet voordat controles zijn uitgevoerd om te beslissen of de bezoeker een echte gebruiker is.
- Het gebruik van phishing-e-mails die ontvangers naar een website leiden die op Canva wordt gehost, waardoor vervolgens de phishing-stroom van de apparaatcode wordt geactiveerd om Microsoft-accounts te kapen met behulp van de Kali65-phishing-kit. De kit ondersteunt meer dan 33 verschillende lokmiddelen, een uitbetalingspijplijn en een desktopapplicatie genaamd OctoLink Live (ook bekend als Kali365 Live) die het gestolen token misbruikt om een Chromium-browsersessie te starten en de mailbox van het slachtoffer te openen in OWA, OneDrive, SharePoint of admin.microsoft.com. Het platform biedt ook een tool die bekend staat als OctoLink Sender om phishing-e-mails vanaf het gehackte account massaal naar andere contacten te verzenden, een techniek die laterale phishing wordt genoemd.
- Phishingcampagnes met behulp van Kali365 hebben ook phishingpagina’s verspreid die de Russische MAX-messenger nabootsen, wat duidt op een poging om gebruikers in Rusland te selecteren. “Een phishing-operator die de overname van MAX-accounts kan omzetten in verspreiding heeft toegang tot een van de grootste geïnstalleerde berichtenbases in de Russischsprekende wereld”, aldus Arctic Wolf.
- Het verzenden van e-mails die de IRS en de socialezekerheidsadministratie nabootsen, naast Adobe, Microsoft, DocuSign en Dropbox, om legitieme software voor externe toegang zoals ConnectWise ScreenConnect te leveren als onderdeel van phishing-campagnes met behulp van een PhaaS-kit genaamd The Quarry die is ontwikkeld, onderhouden en verkocht door een eenzame operator genaamd RockyBelling. De prijs van de kit varieert ergens tussen $ 500 en $ 3.000. Dit omvat tools zoals Rocky Gmail Sender (een bulk-e-mailtool), Rocky Email Sorter (om e-mailadressen te sorteren op domein in Gmail, Yahoo, Hotmail en AOL) en VioletRAT.
- Het verzenden van sms-berichten waarin de US Postal Service (USPS) en UPS worden nagebootst om slachtoffers te misleiden zodat ze een phishing-pagina bezoeken waarop gebruikers worden gevraagd hun persoonlijke en financiële gegevens in te voeren onder het voorwendsel van een mislukte pakketbezorging en een nieuwe bezorging te plannen. “Onder het bedrog legt de kit gegevens in realtime vast”, zei Censys. “Het opent een WebSocket terug naar de oorsprong en streamt de kaartgegevens van het slachtoffer toetsaanslag voor toetsaanslag, voert een BIN-zoekopdracht op de server uit op het kaartnummer en duwt routeringsbeslissingen (opnieuw proberen, PIN-prompt, OTP-prompt, kill-switch) terug naar de browser van het slachtoffer terwijl ze typen. “
- Het gebruik van valse workflows voor biedingsvoorstellen om Google-accounts over te nemen met behulp van een raamwerk genaamd Nyasher. De omleidingsketen omvat een ‘ingedrukt houden’-verificatiepagina om geautomatiseerde scanners en bots uit te filteren, voordat naar een blob-URL wordt genavigeerd. “De laatste pagina vertoonde een inloginterface van Google, maar was niet bereikbaar als een normaal gehost HTML-document”, aldus ZeroBAC. “Het bestond als een door een browser gemaakte object-URL.”
- Het gebruik van valse Google Partners- en Google Premier Partner-inschrijvingsworkflows in phishing-e-mails om ontvangers om te leiden naar een valse Google-inlogpagina die is ontworpen om in realtime inloggegevens vast te leggen als onderdeel van een campagne met de codenaam GPPStorm.
- Een verouderde e-mailalias gebruiken om de inbox van een gebruiker te targeten en een phishing-stroom voor apparaatcode te starten die gebruikmaakt van de EvilTokens-kit. “De kit werd bereikt via een trackinglink van Mailjet, vervolgens via een gecompromitteerde WordPress-site, vervolgens via een CAPTCHA-interstitial en vervolgens via de Cloudflare Workers-host”, aldus ZeroBAC. “Drie live-infrastructuursprongen tussen de e-mailtekst en de kit, waarvan geen enkele de kit zelf is.”
Om deze bedreigingen tegen te gaan, wordt aanbevolen om de verificatie van apparaatcodes te blokkeren, tenzij dit nodig is, om mailboxartefacten na apparaatcodegebeurtenissen te controleren op tekenen van ongebruikelijke activiteit, om de regels voor de e-mailstroom te controleren en om verouderde aliassen die niet langer overeenkomen met actieve werknemers buiten gebruik te stellen.
“De campagne slaagde erin de inbox te bereiken omdat de ontvangende organisatie nog steeds een actieve doorstuurrelatie onderhield van een naamruimte vóór de acquisitie naar een huidige mailbox”, merkte ZeroBAC op.
“De aanvaller gebruikte een nog steeds oplosbare historische identiteit om e-mail te bezorgen die, vanuit het perspectief van de SEG, leek op normale doorgestuurde correspondentie. Vanuit het perspectief van de gebruiker belandde het bericht in hun werkende inbox zonder zichtbare aanwijzingen dat het een indirect pad had gevolgd.”