Nova plataforma de phishing Forg365 usa IA para atacar contas do Microsoft 365
10 de Julho de 2026

Uma nova operação de phishing-as-a-service (PhaaS) chamada Forg365 está focada no roubo de contas do Microsoft 365.

Para isso, combina técnicas de adversary-in-the-middle (AiTM) e de code phishing com geração de iscas assistida por IA.

A plataforma também oferece uma extensão de navegador para manter o acesso aos serviços da Microsoft vinculados às contas comprometidas, sem que seja necessário fazer nova autenticação.

Pesquisadores da empresa de segurança de e-mail ZeroBEC afirmam que muitos dos recursos do Forg365 também aparecem em outras plataformas PhaaS conhecidas, como Kali365 e Sneaky2FA, embora não tenham conseguido estabelecer uma ligação direta entre elas.

A investigação começou com a análise de e-mails de phishing que se passavam por documentos corporativos, cuidadosamente preparados para imitar um serviço confiável.

“Segundo relatório divulgado pela ZeroBEC hoje, o domínio do remetente observado usava entrega via Amazon SES, enquanto o corpo da mensagem incluía recursos de imagem ou rastreamento hospedados no SendGrid.”

Essa combinação de serviços legítimos com infraestrutura de phishing indica uma operação PhaaS madura, capaz de misturar suas mensagens ao tráfego comum de e-mail.

A plataforma inclui phishing por code phishing, phishing adversary-in-the-middle (AiTM), geração de conteúdo de e-mail com apoio de IA, gerenciamento de token e cookie, além de operações pós-comprometimento.

Ao avançar na análise, os pesquisadores obtiveram acesso ao painel do Forg365, que permite criar novas campanhas de phishing, gerenciar links de phishing, configurar aplicativos OAuth e perfis SMTP, administrar tokens e gerar e-mails de phishing com ajuda de IA.

Embora o uso de IA para criar iscas personalizadas de phishing não seja novidade, os pesquisadores destacam que esse recurso está diretamente integrado ao painel do Forg365.

Isso permite ao operador criar os e-mails maliciosos, preparar o texto e refinar as mensagens no mesmo ambiente usado para controlar a atividade após o comprometimento.

Segundo os pesquisadores, essa integração é estratégica, porque “a IA reduz o custo de desenvolver conteúdo personalizado de phishing, mas também reduz o custo de construir plataformas PhaaS personalizadas”.

O painel também inclui um dashboard de inteligência de contas e um recurso de monitoramento de palavras-chave, que varre caixas de entrada comprometidas em busca de termos predefinidos e alerta os operadores sempre que uma correspondência é detectada.

Os operadores recebem uma extensão de navegador chamada ForgCookie, compatível com Google Chrome, Microsoft Edge e Brave, desenvolvida especificamente para atualizar automaticamente os cookies de SSO da Microsoft.

A extensão funciona solicitando dados da conta ao backend do Forg365, limpando os cookies de sessão e acionando um fluxo silencioso de OAuth para capturar novos cookies.

Isso garante ao invasor acesso persistente aos serviços da Microsoft associados à conta da vítima.

De acordo com a ZeroBEC, o Forg365 suporta duas rotas principais de ataque: o phishing por code phishing, que está em alta, e o phishing AiTM, mais tradicional.

No primeiro caso, a vítima vê uma página de verificação no estilo Microsoft e é instruída a concluir a autenticação usando o fluxo de code phishing da Microsoft, criado para qualquer endpoint com restrições de entrada, como smartTV, dispositivos IoT ou ferramentas sem navegador.

Em vez de atacar diretamente a senha da vítima, o golpe leva a pessoa a autorizar um dispositivo controlado pelo invasor por meio do fluxo legítimo de autenticação OAuth 2.0 com code phishing.

No phishing AiTM, a plataforma usa um proxy para intermediar as requisições de autenticação e os dados trocados entre a infraestrutura da Microsoft e a conta-alvo, capturando cookies de sessão durante o processo.

Para impedir que pesquisadores acessem o painel administrativo, o Forg365 conta com um recurso AntiBot que inclui “redirecionadores criptografados com AES, detecção de bots, armadilhas para depuradores, verificações de sandbox e código polimórfico”.

Além disso, quando é detectada uma conexão por VPN, a plataforma redireciona o usuário para conteúdo inofensivo em vez de exibir as páginas de phishing.

A ZeroBEC informa que a plataforma usa Amazon SES para envio dos e-mails de phishing e Cloudflare Pages para hospedar as páginas de destino.

A infraestrutura do Gophish também é usada na entrega das campanhas.

A recomendação é restringir ou desativar a autenticação por code phishing da Microsoft, a menos que ela seja necessária, e monitorar os logs do Microsoft Entra em busca de eventos de autenticação por code phishing.

Também é importante investigar regras de caixa de entrada, novos logins em dispositivos, atividade do Microsoft Authentication Broker e concessões OAuth em busca de registros inesperados.

Se houver suspeita de comprometimento, todos os tokens e sessões devem ser revogados e renovados o mais rápido possível.

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...