Forg365: novo phishing-as-a-service industrializa roubo de sessoes do Microsoft 365 com device code, AitM e IA
Nova operacao PhaaS vendida por US$ 400/mes no Telegram combina device code phishing, adversary-in-the-middle, geracao de iscas com IA e cofre de tokens para sequestrar contas Microsoft 365 em escala.
Uma nova operacao de phishing-as-a-service (PhaaS) batizada de Forg365 esta sendo comercializada por US$ 400 mensais no Telegram e combina device code phishing, adversary-in-the-middle (AitM), evasao antibot e geracao de iscas com IA para sequestrar contas do Microsoft 365. O painel operacional, mapeado por pesquisadores da ZeroBAC, inclui rotacao de SMTP, cofre de tokens roubados, extensao de navegador propria e integracao com Amazon SES e Twilio SendGrid como infraestrutura de entrega legitima.
O que aconteceu
A ZeroBAC, empresa de seguranca de e-mail, publicou nesta semana uma analise detalhada da operacao Forg365, apresentada por seus operadores como um kit completo de phishing voltado para o Microsoft 365. O servico e vendido via canal privado no Telegram em duas modalidades: US$ 400 por mes ou US$ 3.800 no plano anual, um patamar que se equipara aos principais players desse mercado clandestino nos ultimos anos, como Rockstar 2FA, Tycoon e o ja aposentado EvilProxy.
O diferencial do Forg365 esta no grau de industrializacao do processo. O painel do afiliado expoe fluxos de trabalho maduros que cobrem todo o ciclo de vida do ataque: criacao de contas, geracao de links, envio de convites, configuracao de aplicativos OAuth, cadeias de redirecionamento, geracao de SVG, disparo de campanhas, perfis SMTP com rotacao automatica, geracao de e-mails com auxilio de IA, cofre de tokens roubados, inteligencia de contas comprometidas, alertas por palavra-chave, viewer links e suporte a uma extensao de navegador propria.
As cadeias de ataque abusam de servicos legitimos de entrega de e-mail, notadamente o Amazon Simple Email Service (SES) e o Twilio SendGrid, para construir cadeias de redirecionamento que se camuflam no trafego habitual das caixas corporativas antes de aterrissar em dominios controlados pelo Forg365.
Como o ataque funciona
O Forg365 combina duas tecnicas ja consolidadas no arsenal de operadores focados em Microsoft 365. A primeira e o device code phishing, que abusa do fluxo legitimo do OAuth 2.0 usado por dispositivos sem teclado (TVs, consoles, IoT) para autenticar contas: a vitima recebe um codigo aparentemente inocente que, ao ser inserido em uma pagina legitima da Microsoft, autoriza o token do atacante. A segunda e o AitM classico com proxy reverso, que intercepta a autenticacao em tempo real, capturando cookies de sessao apos o MFA ter sido concluido com sucesso.
Uma vez capturados, os tokens de acesso e refresh sao armazenados no cofre do painel e podem ser reutilizados para reconstruir sessoes de navegador persistentes, sem que o usuario precise interagir novamente. O modelo permite acesso silencioso a caixas de correio, arquivos do OneDrive, chats do Teams e configuracoes do tenant durante toda a validade do token, tipicamente uma hora para o access token e ate 90 dias para o refresh.
O painel expoe um workflow operacional maduro: contas, links, convites, configuracao de aplicativos OAuth, links de redirecionamento, geracao de SVG, envio de campanhas, perfis SMTP, rotacao de SMTP, geracao de e-mail por IA, cofre de tokens, inteligencia de contas, alertas por palavra-chave, viewer links e suporte a extensao de navegador.
ZeroBAC
Quem esta na mira
O alvo declarado do Forg365 sao mailboxes corporativas do Microsoft 365, mas a lista de recursos operacionais indica que o servico atende tres perfis distintos de afiliados: operadores focados em fraude financeira via business email compromise (BEC), operadores de acesso inicial que revendem tokens para grupos de ransomware e brokers de credenciais que alimentam mercados de logs. As organizacoes em maior risco incluem:
- Empresas com forte dependencia do Microsoft 365 sem controles condicionais de acesso baseados em risco de sessao
- Ambientes que ainda permitem device code flow para tenants corporativos sem justificativa de negocio
- Setores com alto ROI em BEC: escritorios de advocacia, incorporadoras, escritorios de contabilidade e departamentos financeiros de operacoes de M&A
- Empresas que confiam apenas em bloqueio de dominio ou reputacao de remetente, sem inspecao comportamental do fluxo pos-login
- Ambientes que compartilham a mesma sessao entre extensoes de navegador e login corporativo
Analise
O Forg365 confirma uma tendencia observada desde a aposentadoria do EvilProxy em 2024 e do desmonte parcial do Rockstar 2FA em 2025: o mercado de PhaaS focado em Microsoft 365 nao esta encolhendo, esta se profissionalizando. A propria composicao de recursos do painel (rotacao de SMTP, geracao de e-mail com IA, cofre de tokens) mostra que a arbitragem entre atacantes agora nao esta mais em quem consegue roubar credenciais, mas em quem consegue operar em escala sem queimar infraestrutura.
O uso ostensivo de Amazon SES e Twilio SendGrid como camadas iniciais de entrega e o ponto que exige atencao dos defensores. Bloquear esses provedores nao e opcao viavel para a maioria das empresas, ja que ambos fazem parte do trafego legitimo de dezenas de sistemas SaaS. Isso empurra a deteccao para dois lugares: analise comportamental do conteudo (uso de SVG como vetor de payload, cadeias de redirecionamento longas, dominios recem-registrados) e monitoramento pos-autenticacao no proprio tenant (novos aplicativos OAuth aprovados, refresh tokens acionados de ASN incomum).
A adocao de geradores de e-mail com IA no painel merece nota. Em campanhas anteriores como as do Storm-1811 e Storm-2372, a qualidade do texto ja havia deixado de ser um sinal confiavel de phishing. Com o Forg365, empresas que ainda treinam usuarios exclusivamente para detectar erros de portugues ou anomalias de tom estao correndo atras do prejuizo.
Recomendacoes praticas
- Desabilitar o device code flow para tenants corporativos via Conditional Access, permitindo apenas em cenarios de negocio comprovados
- Exigir autenticacao resistente a phishing (FIDO2/WebAuthn ou Passkeys) para grupos privilegiados e para usuarios de setores expostos a BEC
- Configurar Conditional Access com sign-in risk e user risk elevados para forcar reautenticacao ou bloqueio em sessoes suspeitas
- Implementar restricao de aprovacao de aplicativos OAuth por usuarios finais (admin consent workflow) e revisar semanalmente aplicativos com permissoes de leitura de e-mail
- Monitorar refresh tokens usados de ASNs distintos do login original e criar alertas para saltos geograficos alem do razoavel para o usuario
- Bloquear ou inspecionar anexos SVG em fluxos de e-mail corporativos, um vetor recorrente no arsenal de PhaaS atual
- Reduzir a vida util de refresh tokens em usuarios de alto risco e usar Continuous Access Evaluation (CAE) para invalidar sessoes imediatamente apos revogacao de credenciais
- Auditar regras de mailbox criadas nas ultimas 90 dias, um dos primeiros movimentos de operadores BEC apos comprometer uma conta
Fonte: The Hacker News





