Forg365: novo phishing-as-a-service industrializa roubo de sessoes do Microsoft 365 com device code, AitM e IA

Nova operacao PhaaS vendida por US$ 400/mes no Telegram combina device code phishing, adversary-in-the-middle, geracao de iscas com IA e cofre de tokens para sequestrar contas Microsoft 365 em escala.

Ilustracao de operacao de phishing-as-a-service Forg365 mirando contas Microsoft 365

Uma nova operacao de phishing-as-a-service (PhaaS) batizada de Forg365 esta sendo comercializada por US$ 400 mensais no Telegram e combina device code phishing, adversary-in-the-middle (AitM), evasao antibot e geracao de iscas com IA para sequestrar contas do Microsoft 365. O painel operacional, mapeado por pesquisadores da ZeroBAC, inclui rotacao de SMTP, cofre de tokens roubados, extensao de navegador propria e integracao com Amazon SES e Twilio SendGrid como infraestrutura de entrega legitima.

O que aconteceu

A ZeroBAC, empresa de seguranca de e-mail, publicou nesta semana uma analise detalhada da operacao Forg365, apresentada por seus operadores como um kit completo de phishing voltado para o Microsoft 365. O servico e vendido via canal privado no Telegram em duas modalidades: US$ 400 por mes ou US$ 3.800 no plano anual, um patamar que se equipara aos principais players desse mercado clandestino nos ultimos anos, como Rockstar 2FA, Tycoon e o ja aposentado EvilProxy.

O diferencial do Forg365 esta no grau de industrializacao do processo. O painel do afiliado expoe fluxos de trabalho maduros que cobrem todo o ciclo de vida do ataque: criacao de contas, geracao de links, envio de convites, configuracao de aplicativos OAuth, cadeias de redirecionamento, geracao de SVG, disparo de campanhas, perfis SMTP com rotacao automatica, geracao de e-mails com auxilio de IA, cofre de tokens roubados, inteligencia de contas comprometidas, alertas por palavra-chave, viewer links e suporte a uma extensao de navegador propria.

As cadeias de ataque abusam de servicos legitimos de entrega de e-mail, notadamente o Amazon Simple Email Service (SES) e o Twilio SendGrid, para construir cadeias de redirecionamento que se camuflam no trafego habitual das caixas corporativas antes de aterrissar em dominios controlados pelo Forg365.

Como o ataque funciona

O Forg365 combina duas tecnicas ja consolidadas no arsenal de operadores focados em Microsoft 365. A primeira e o device code phishing, que abusa do fluxo legitimo do OAuth 2.0 usado por dispositivos sem teclado (TVs, consoles, IoT) para autenticar contas: a vitima recebe um codigo aparentemente inocente que, ao ser inserido em uma pagina legitima da Microsoft, autoriza o token do atacante. A segunda e o AitM classico com proxy reverso, que intercepta a autenticacao em tempo real, capturando cookies de sessao apos o MFA ter sido concluido com sucesso.

Uma vez capturados, os tokens de acesso e refresh sao armazenados no cofre do painel e podem ser reutilizados para reconstruir sessoes de navegador persistentes, sem que o usuario precise interagir novamente. O modelo permite acesso silencioso a caixas de correio, arquivos do OneDrive, chats do Teams e configuracoes do tenant durante toda a validade do token, tipicamente uma hora para o access token e ate 90 dias para o refresh.

O painel expoe um workflow operacional maduro: contas, links, convites, configuracao de aplicativos OAuth, links de redirecionamento, geracao de SVG, envio de campanhas, perfis SMTP, rotacao de SMTP, geracao de e-mail por IA, cofre de tokens, inteligencia de contas, alertas por palavra-chave, viewer links e suporte a extensao de navegador.

ZeroBAC

Quem esta na mira

O alvo declarado do Forg365 sao mailboxes corporativas do Microsoft 365, mas a lista de recursos operacionais indica que o servico atende tres perfis distintos de afiliados: operadores focados em fraude financeira via business email compromise (BEC), operadores de acesso inicial que revendem tokens para grupos de ransomware e brokers de credenciais que alimentam mercados de logs. As organizacoes em maior risco incluem:

  • Empresas com forte dependencia do Microsoft 365 sem controles condicionais de acesso baseados em risco de sessao
  • Ambientes que ainda permitem device code flow para tenants corporativos sem justificativa de negocio
  • Setores com alto ROI em BEC: escritorios de advocacia, incorporadoras, escritorios de contabilidade e departamentos financeiros de operacoes de M&A
  • Empresas que confiam apenas em bloqueio de dominio ou reputacao de remetente, sem inspecao comportamental do fluxo pos-login
  • Ambientes que compartilham a mesma sessao entre extensoes de navegador e login corporativo

Analise

O Forg365 confirma uma tendencia observada desde a aposentadoria do EvilProxy em 2024 e do desmonte parcial do Rockstar 2FA em 2025: o mercado de PhaaS focado em Microsoft 365 nao esta encolhendo, esta se profissionalizando. A propria composicao de recursos do painel (rotacao de SMTP, geracao de e-mail com IA, cofre de tokens) mostra que a arbitragem entre atacantes agora nao esta mais em quem consegue roubar credenciais, mas em quem consegue operar em escala sem queimar infraestrutura.

O uso ostensivo de Amazon SES e Twilio SendGrid como camadas iniciais de entrega e o ponto que exige atencao dos defensores. Bloquear esses provedores nao e opcao viavel para a maioria das empresas, ja que ambos fazem parte do trafego legitimo de dezenas de sistemas SaaS. Isso empurra a deteccao para dois lugares: analise comportamental do conteudo (uso de SVG como vetor de payload, cadeias de redirecionamento longas, dominios recem-registrados) e monitoramento pos-autenticacao no proprio tenant (novos aplicativos OAuth aprovados, refresh tokens acionados de ASN incomum).

A adocao de geradores de e-mail com IA no painel merece nota. Em campanhas anteriores como as do Storm-1811 e Storm-2372, a qualidade do texto ja havia deixado de ser um sinal confiavel de phishing. Com o Forg365, empresas que ainda treinam usuarios exclusivamente para detectar erros de portugues ou anomalias de tom estao correndo atras do prejuizo.

Recomendacoes praticas

  • Desabilitar o device code flow para tenants corporativos via Conditional Access, permitindo apenas em cenarios de negocio comprovados
  • Exigir autenticacao resistente a phishing (FIDO2/WebAuthn ou Passkeys) para grupos privilegiados e para usuarios de setores expostos a BEC
  • Configurar Conditional Access com sign-in risk e user risk elevados para forcar reautenticacao ou bloqueio em sessoes suspeitas
  • Implementar restricao de aprovacao de aplicativos OAuth por usuarios finais (admin consent workflow) e revisar semanalmente aplicativos com permissoes de leitura de e-mail
  • Monitorar refresh tokens usados de ASNs distintos do login original e criar alertas para saltos geograficos alem do razoavel para o usuario
  • Bloquear ou inspecionar anexos SVG em fluxos de e-mail corporativos, um vetor recorrente no arsenal de PhaaS atual
  • Reduzir a vida util de refresh tokens em usuarios de alto risco e usar Continuous Access Evaluation (CAE) para invalidar sessoes imediatamente apos revogacao de credenciais
  • Auditar regras de mailbox criadas nas ultimas 90 dias, um dos primeiros movimentos de operadores BEC apos comprometer uma conta

Fonte: The Hacker News