Forg365: Dịch vụ PhaaS mới nhắm mục tiêu Microsoft 365 qua kỹ thuật AitM và Device Code
Dịch vụ Phishing-as-a-Service (PhaaS) mới mang tên Forg365 đang trở thành mối đe dọa nghiêm trọng đối với người dùng Microsoft 365 nhờ khả năng kết hợp giữa kỹ thuật AitM, lừa đảo qua mã thiết bị và...
Một nền tảng Phishing-as-a-Service (PhaaS) mới xuất hiện với tên gọi Forg365 đang gây chú ý khi nhắm mục tiêu trực tiếp vào các tài khoản Microsoft 365. Dịch vụ này cung cấp một bộ công cụ tấn công toàn diện, từ tạo kịch bản lừa đảo bằng AI, né tránh bot, cho đến kỹ thuật Adversary-in-the-Middle (AitM) và chiếm đoạt phiên đăng nhập.
Table Of Content
Mô hình kinh doanh tinh vi
Được phân phối qua Telegram với mức giá 400 USD/tháng hoặc 3.800 USD/năm, Forg365 cho phép ngay cả những kẻ tấn công thiếu kinh nghiệm kỹ thuật cũng có thể thực hiện các chiến dịch phishing quy mô lớn. Hệ thống này tận dụng cơ sở hạ tầng gửi email hợp pháp như Amazon SES và Twilio SendGrid để ngụy trang các liên kết độc hại, giúp chúng vượt qua các bộ lọc bảo mật thông thường.
Theo các nhà nghiên cứu từ ZeroBAC, bảng điều khiển của Forg365 cung cấp quy trình làm việc chuyên nghiệp: từ quản lý chiến dịch, cấu hình ứng dụng OAuth, tạo mã QR/SVG, cho đến lưu trữ token và hỗ trợ tiện ích mở rộng trình duyệt.
Cơ chế tấn công đa tầng
Forg365 sử dụng hai phương thức chính để chiếm đoạt tài khoản:
- Device Code Phishing: Nạn nhân bị dẫn dụ đến một trang xác thực giả mạo có giao diện giống hệt Microsoft. Khi nhập mã, nạn nhân vô tình cho phép kẻ tấn công quyền truy cập vào phiên đăng nhập của chính mình.
- AitM Phishing: Nền tảng sử dụng cookie phiên và route token để đánh cắp thông tin xác thực trong thời gian thực. Đặc biệt, hệ thống có khả năng phát hiện VPN; nếu nghi ngờ là kết nối từ công cụ bảo mật, nó sẽ chuyển hướng nạn nhân đến nội dung vô hại để tránh bị phát hiện.
Tiện ích mở rộng ForgCookie
Một điểm đáng chú ý là tiện ích mở rộng ForgCookie dành cho các trình duyệt nhân Chromium (Chrome, Edge, Brave). Công cụ này đóng vai trò trung gian, tự động làm mới cookie SSO (Single Sign-On) của Microsoft, giúp kẻ tấn công duy trì quyền truy cập vào tài khoản bị chiếm đoạt ngay cả khi mật khẩu đã thay đổi.
Sau khi chiếm được tài khoản, Forg365 không dừng lại ở việc đánh cắp dữ liệu. Nó còn hỗ trợ kẻ tấn công giám sát các từ khóa nhạy cảm trong email và sử dụng AI để soạn thảo các phản hồi giả mạo, nhằm thực hiện các hành vi lừa đảo tiếp theo (lateral phishing) trong chuỗi email của nạn nhân.
Khuyến nghị bảo mật
Để đối phó với làn sóng tấn công từ các bộ công cụ PhaaS như Forg365, các tổ chức cần thực hiện các biện pháp sau:
- Vô hiệu hóa xác thực qua mã thiết bị (device code authentication) nếu không thực sự cần thiết.
- Thường xuyên kiểm tra các hoạt động bất thường trong hộp thư sau khi có các sự kiện xác thực thiết bị.
- Rà soát và loại bỏ các bí danh (alias) cũ hoặc các quy tắc chuyển tiếp email không còn sử dụng.
- Giám sát chặt chẽ các ứng dụng OAuth được cấp quyền trong môi trường Microsoft 365.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.