Uma nova operacao de phishing-as-a-service (PhaaS) batizada de Forg365 esta sendo comercializada por US$ 400 mensais no Telegram e combina device code phishing, adversary-in-the-middle (AitM), evasao antibot e geracao de iscas com IA para sequestrar contas do Microsoft 365. O painel operacional, mapeado por pesquisadores da ZeroBAC, inclui rotacao de SMTP, cofre de tokens roubados, extensao de navegador propria e integracao com Amazon SES e Twilio SendGrid como infraestrutura de entrega legitima.
A ZeroBAC, empresa de seguranca de e-mail, publicou nesta semana uma analise detalhada da operacao Forg365, apresentada por seus operadores como um kit completo de phishing voltado para o Microsoft 365. O servico e vendido via canal privado no Telegram em duas modalidades: US$ 400 por mes ou US$ 3.800 no plano anual, um patamar que se equipara aos principais players desse mercado clandestino nos ultimos anos, como Rockstar 2FA, Tycoon e o ja aposentado EvilProxy.
O diferencial do Forg365 esta no grau de industrializacao do processo. O painel do afiliado expoe fluxos de trabalho maduros que cobrem todo o ciclo de vida do ataque: criacao de contas, geracao de links, envio de convites, configuracao de aplicativos OAuth, cadeias de redirecionamento, geracao de SVG, disparo de campanhas, perfis SMTP com rotacao automatica, geracao de e-mails com auxilio de IA, cofre de tokens roubados, inteligencia de contas comprometidas, alertas por palavra-chave, viewer links e suporte a uma extensao de navegador propria.
As cadeias de ataque abusam de servicos legitimos de entrega de e-mail, notadamente o Amazon Simple Email Service (SES) e o Twilio SendGrid, para construir cadeias de redirecionamento que se camuflam no trafego habitual das caixas corporativas antes de aterrissar em dominios controlados pelo Forg365.
O Forg365 combina duas tecnicas ja consolidadas no arsenal de operadores focados em Microsoft 365. A primeira e o device code phishing, que abusa do fluxo legitimo do OAuth 2.0 usado por dispositivos sem teclado (TVs, consoles, IoT) para autenticar contas: a vitima recebe um codigo aparentemente inocente que, ao ser inserido em uma pagina legitima da Microsoft, autoriza o token do atacante. A segunda e o AitM classico com proxy reverso, que intercepta a autenticacao em tempo real, capturando cookies de sessao apos o MFA ter sido concluido com sucesso.
Uma vez capturados, os tokens de acesso e refresh sao armazenados no cofre do painel e podem ser reutilizados para reconstruir sessoes de navegador persistentes, sem que o usuario precise interagir novamente. O modelo permite acesso silencioso a caixas de correio, arquivos do OneDrive, chats do Teams e configuracoes do tenant durante toda a validade do token, tipicamente uma hora para o access token e ate 90 dias para o refresh.
O painel expoe um workflow operacional maduro: contas, links, convites, configuracao de aplicativos OAuth, links de redirecionamento, geracao de SVG, envio de campanhas, perfis SMTP, rotacao de SMTP, geracao de e-mail por IA, cofre de tokens, inteligencia de contas, alertas por palavra-chave, viewer links e suporte a extensao de navegador.
ZeroBAC
O alvo declarado do Forg365 sao mailboxes corporativas do Microsoft 365, mas a lista de recursos operacionais indica que o servico atende tres perfis distintos de afiliados: operadores focados em fraude financeira via business email compromise (BEC), operadores de acesso inicial que revendem tokens para grupos de ransomware e brokers de credenciais que alimentam mercados de logs. As organizacoes em maior risco incluem:
O Forg365 confirma uma tendencia observada desde a aposentadoria do EvilProxy em 2024 e do desmonte parcial do Rockstar 2FA em 2025: o mercado de PhaaS focado em Microsoft 365 nao esta encolhendo, esta se profissionalizando. A propria composicao de recursos do painel (rotacao de SMTP, geracao de e-mail com IA, cofre de tokens) mostra que a arbitragem entre atacantes agora nao esta mais em quem consegue roubar credenciais, mas em quem consegue operar em escala sem queimar infraestrutura.
O uso ostensivo de Amazon SES e Twilio SendGrid como camadas iniciais de entrega e o ponto que exige atencao dos defensores. Bloquear esses provedores nao e opcao viavel para a maioria das empresas, ja que ambos fazem parte do trafego legitimo de dezenas de sistemas SaaS. Isso empurra a deteccao para dois lugares: analise comportamental do conteudo (uso de SVG como vetor de payload, cadeias de redirecionamento longas, dominios recem-registrados) e monitoramento pos-autenticacao no proprio tenant (novos aplicativos OAuth aprovados, refresh tokens acionados de ASN incomum).
A adocao de geradores de e-mail com IA no painel merece nota. Em campanhas anteriores como as do Storm-1811 e Storm-2372, a qualidade do texto ja havia deixado de ser um sinal confiavel de phishing. Com o Forg365, empresas que ainda treinam usuarios exclusivamente para detectar erros de portugues ou anomalias de tom estao correndo atras do prejuizo.
Fonte: The Hacker News
Pesquisa da Socket revela 222 repositorios GitHub em 190 contas usando pacotes Go falsos como…
Relatorio da SentinelLabs mostra que dois clusters distintos, chines (TAG-140) e indio (TAG-179), atacaram a…
Cursor Composer 2.5 e o rebrand da Windsurf como Devin Desktop consolidam a era dos…
BioShocking transforma ChatGPT Atlas, Comet e extensão do Claude em ladrões de credenciais. OWASP mantém…
Publicado na Nature Machine Intelligence em julho: agente baseado em LLM planeja, executa e interpreta…
Braço de deployment da OpenAI adquire a Northslope — segunda aquisição após a Tomoro —…