Plataforma de phishing usa IA, AiTM e código de dispositivo para roubar acessos corporativos.
O Forg365 é uma operação de phishing como serviço voltada a contas Microsoft 365. Segundo pesquisadores da ZeroBEC, a plataforma combina páginas de login falsas, códigos de dispositivo e mensagens geradas com IA. O objetivo é capturar acesso, tokens e cookies para manter entrada nos serviços vinculados à conta invadida.
O Forg365 é uma nova plataforma de phishing como serviço, conhecida pela sigla PhaaS. Na prática, criminosos vendem uma estrutura pronta para que outros golpistas montem campanhas falsas e roubem contas com pouco esforço técnico. O alvo descrito na análise é claro: contas Microsoft 365.
De acordo com a ZeroBEC, o Forg365 reúne recursos já vistos em operações como Kali365 e Sneaky2FA, ainda que os pesquisadores não tenham confirmado ligação entre elas. A investigação partiu de e-mails que se passavam por documentos de negócio e imitavam serviços de confiança.
O ataque encadeia mais de uma técnica ao mesmo tempo. Uma delas é o método adversary-in-the-middle, ou AiTM, em que o criminoso se posiciona no meio da comunicação entre a vítima e o serviço para capturar dados de acesso durante o login. Outra recorre a códigos de dispositivo, que induzem a pessoa a autorizar um acesso que ela nunca iniciou.
A análise também aponta o uso de IA na criação das mensagens de isca. Isso deixa os e-mails mais convincentes, com aparência de comunicação corporativa legítima. Além disso, o Forg365 administra tokens e cookies, que mantêm sessões abertas, e disponibiliza uma extensão de navegador para seguir acessando serviços Microsoft vinculados à conta comprometida sem precisar autenticar de novo.
Alguns indícios citados na análise ajudam a entender como essas campanhas tentam se camuflar no tráfego normal de e-mail:
O ponto central é simples: o uso de serviços legítimos não garante que a mensagem seja segura. Golpistas exploram essas plataformas justamente para dar aparência normal ao ataque.
Para empresas que usam Microsoft 365, a defesa precisa unir atenção do usuário e revisão técnica. Oriente os colaboradores a não abrir supostos documentos de negócio quando o contexto não fizer sentido. Se uma mensagem pedir login, código de dispositivo ou autorização inesperada, a atitude correta é interromper e confirmar por outro canal.
As equipes de TI devem revisar campanhas suspeitas, links acessados, sessões ativas e extensões instaladas no navegador. Como o Forg365 opera com tokens, cookies e continuidade de acesso, trocar apenas a senha pode não bastar em um caso suspeito. Também é preciso encerrar sessões e remover acessos desconhecidos.
Segundo o material analisado, o Forg365 é uma plataforma de phishing como serviço. O risco principal está em enganar usuários para roubar acesso ao Microsoft 365, além de tokens e cookies de sessão.
A IA ajuda a produzir mensagens de isca mais convincentes, com aparência de comunicação empresarial. Isso elimina erros óbvios e aumenta a chance de a vítima confiar no e-mail.
Sim. A operação descrita é focada em contas Microsoft 365 e usa métodos desenhados para obter e manter acesso aos serviços ligados à conta comprometida.
A LC SEC ajuda sua empresa a avaliar riscos em Microsoft 365, revisar controles de acesso, treinar usuários e identificar campanhas de phishing antes que elas virem incidentes.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io