
Forg365: A jövő adathalász szolgáltatása
Az új platform legújabb vívmánya, hogy ötvözi az ún. adversary-in-the-middle (AiTM) támadásokat a készülékkódos adathalászattal, miközben MI-t használ a megtévesztő csalogató szövegek megalkotásához. A támadó egyetlen felületet kap, ahol új adathalász kampányokat indíthat, linkeket kezelhet, OAuth-alkalmazásokat és SMTP-profilokat konfigurálhat, sőt, MI-alapú adathalász e-maileket is generálhat.
Böngészőbővítmény és kényelmes hozzáférés
A Forg365-öt használók egy ForgCookie nevű böngészőkiegészítőt is kapnak, ami elérhető Chrome, Edge és Brave számára. Ez az eszköz automatikusan frissíti az áldozat Microsoft SSO-sütijeit, a támadók így folyamatosan hozzáférnek a feltört fiókhoz anélkül, hogy újra kellene hitelesíteniük magukat. A bővítmény a háttérben elkéri a fiókadatokat a Forg365 szervertől, megtisztítja a munkamenet-sütiket, majd csendben elindítja az OAuth-folyamatot, hogy begyűjtse a frissített adatokat.
Álcázott támadások: készülékkód és proxy technológiák
Az ártó szándékú platform két fő támadási útvonallal dolgozik. Az első a készülékkódos adathalászat, ahol az áldozatot egy Microsoft-stílusú ellenőrzőoldalra irányítják, és arra kérik, hogy erősítse meg fiókját a hivatalos eszközkódos hitelesítési folyamattal. Ilyenkor nem a jelszót csalják ki, hanem az áldozatot veszik rá arra, hogy egy támadó által kontrollált eszközt engedélyezzen a fiókjában. A másik, hagyományosabb módszernél a támadó proxyszervert állít be az áldozat és a Microsoft rendszere közé, így lehallgathatja és kinyerheti a munkamenet-sütiket.
Automatizált adatgyűjtés, ellenintézkedések
A Forg365 paneljén elérhető fiókfigyelő és kulcsszókereső funkció automatikusan áttúrja a feltört postafiókokat előre beállított szavak után kutatva, így a kiberbűnözők gyorsabban találnak értékes információkat. Az AntiBot-védelem AES-titkosított átirányításokat, botdetektálást, sandbox-ellenőrzést és polimorf kódot vet be, hogy megnehezítse a kutatók dolgát. Ha VPN-használatot érzékel, a platform ártalmatlan oldalra tereli a gyanús felhasználót. Az e-maileket az Amazon SES-ről küldik, a kampányokat pedig a Cloudflare Pages és a Gophish infrastruktúráján keresztül juttatják célba az áldozatokat.
Védekezés a fejlett támadások ellen
A Microsoft 365 felhasználóinak ajánlott korlátozni vagy kikapcsolni az eszközkódos hitelesítést, ha nincs rá szükség. Érdemes folyamatosan figyelni a Microsoft Entra naplókat, a postafiókszabályokat, az új eszközbejelentkezéseket, az Authentication Broker-aktivitást és az OAuth-engedélyeket. Felfedezett támadás esetén a fiók összes tokenjét és munkamenetét azonnal vissza kell vonni és cserélni.
