Voltar ao início do blog

Forg365 rouba contas Microsoft 365 com AiTM e codigos de dispositivo

Cibersegurança

Forg365 mira Microsoft 365, entenda o golpe

Plataforma de phishing usa IA, AiTM e código de dispositivo para roubar acessos corporativos.

Forg365 rouba contas Microsoft 365 com AiTM e codigos de dispositivo

Resumo rapido

O Forg365 é uma operação de phishing como serviço voltada a contas Microsoft 365. Segundo pesquisadores da ZeroBEC, a plataforma combina páginas de login falsas, códigos de dispositivo e mensagens geradas com IA. O objetivo é capturar acesso, tokens e cookies para manter entrada nos serviços vinculados à conta invadida.

Neste artigo voce vai aprender:

  • O que é o Forg365 e por que ele preocupa empresas que usam Microsoft 365.
  • Como os criminosos combinam e-mails falsos, AiTM e código de dispositivo.
  • Quais sinais podem indicar uma tentativa de roubo de conta.
  • O que verificar em links, extensões e solicitações de acesso.
  • Um checklist objetivo para reduzir o risco no ambiente corporativo.

O que é o Forg365

O Forg365 é uma nova plataforma de phishing como serviço, conhecida pela sigla PhaaS. Na prática, criminosos vendem uma estrutura pronta para que outros golpistas montem campanhas falsas e roubem contas com pouco esforço técnico. O alvo descrito na análise é claro: contas Microsoft 365.

De acordo com a ZeroBEC, o Forg365 reúne recursos já vistos em operações como Kali365 e Sneaky2FA, ainda que os pesquisadores não tenham confirmado ligação entre elas. A investigação partiu de e-mails que se passavam por documentos de negócio e imitavam serviços de confiança.

Como o golpe funciona

O ataque encadeia mais de uma técnica ao mesmo tempo. Uma delas é o método adversary-in-the-middle, ou AiTM, em que o criminoso se posiciona no meio da comunicação entre a vítima e o serviço para capturar dados de acesso durante o login. Outra recorre a códigos de dispositivo, que induzem a pessoa a autorizar um acesso que ela nunca iniciou.

A análise também aponta o uso de IA na criação das mensagens de isca. Isso deixa os e-mails mais convincentes, com aparência de comunicação corporativa legítima. Além disso, o Forg365 administra tokens e cookies, que mantêm sessões abertas, e disponibiliza uma extensão de navegador para seguir acessando serviços Microsoft vinculados à conta comprometida sem precisar autenticar de novo.

Sinais de alerta

Alguns indícios citados na análise ajudam a entender como essas campanhas tentam se camuflar no tráfego normal de e-mail:

  • E-mails que se passam por documentos de trabalho ou por serviços já conhecidos da empresa.
  • Mensagens enviadas por infraestrutura legítima, como Amazon SES, com imagens ou rastreamentos hospedados em recursos do SendGrid.
  • Links que levam a páginas de login ou autorização fora do fluxo habitual do Microsoft 365.
  • Pedidos para inserir ou aprovar códigos de dispositivo sem que o usuário tenha iniciado esse processo.
  • Extensões de navegador desconhecidas ou instaladas sem justificativa clara.

O ponto central é simples: o uso de serviços legítimos não garante que a mensagem seja segura. Golpistas exploram essas plataformas justamente para dar aparência normal ao ataque.

Como se proteger

Para empresas que usam Microsoft 365, a defesa precisa unir atenção do usuário e revisão técnica. Oriente os colaboradores a não abrir supostos documentos de negócio quando o contexto não fizer sentido. Se uma mensagem pedir login, código de dispositivo ou autorização inesperada, a atitude correta é interromper e confirmar por outro canal.

As equipes de TI devem revisar campanhas suspeitas, links acessados, sessões ativas e extensões instaladas no navegador. Como o Forg365 opera com tokens, cookies e continuidade de acesso, trocar apenas a senha pode não bastar em um caso suspeito. Também é preciso encerrar sessões e remover acessos desconhecidos.

Checklist prático

  1. Confirme se o e-mail de documento ou serviço era esperado antes de clicar em qualquer link.
  2. Nunca aprove um código de dispositivo do Microsoft 365 se você não iniciou a autenticação.
  3. Revise as extensões do navegador e remova qualquer item desconhecido ou sem uso claro.
  4. Em caso de suspeita, avise a TI, encerre sessões ativas e verifique acessos vinculados.
  5. Treine os usuários para reconhecer mensagens corporativas falsas, mesmo quando usam serviços legítimos de envio.

Perguntas frequentes

O Forg365 é um vírus instalado no computador?

Segundo o material analisado, o Forg365 é uma plataforma de phishing como serviço. O risco principal está em enganar usuários para roubar acesso ao Microsoft 365, além de tokens e cookies de sessão.

Por que o uso de IA torna o golpe mais perigoso?

A IA ajuda a produzir mensagens de isca mais convincentes, com aparência de comunicação empresarial. Isso elimina erros óbvios e aumenta a chance de a vítima confiar no e-mail.

Quem usa Microsoft 365 deve se preocupar?

Sim. A operação descrita é focada em contas Microsoft 365 e usa métodos desenhados para obter e manter acesso aos serviços ligados à conta comprometida.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua empresa a avaliar riscos em Microsoft 365, revisar controles de acesso, treinar usuários e identificar campanhas de phishing antes que elas virem incidentes.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://www.bleepingcomputer.com/news/security/new-forg365-phishing-platform-uses-ai-to-target-microsoft-365-accounts/

Compartilhe nas redes sociais:

Conteúdos relacionados

Alertas de cibersegurança direto no Telegram

Vazamentos, vulnerabilidades críticas e tendências — curadoria diária pela nossa equipe de threat intel. Entre no canal oficial e fique à frente das ameaças.

Entrar no canal