ZeroBEC сообщила о платформе Forg365 для атак на аккаунты Microsoft 365
Компания ZeroBEC сообщила о работе вредоносной платформы Forg365, которую используют для атак на аккаунты Microsoft 365. Сервис построен по подписочной модели: злоумышленники получают набор фишинговых инструментов и браузерное расширение, помогающее сохранять долгосрочный доступ к учетным записям жертв. Как пишет IT Home, в панели управления платформы есть несколько AI-функций.
Исследователи описывают две основные схемы атак. Первая связана с device code. Пользователю отправляют фишинговое письмо, после чего перенаправляют на официальный экран входа Microsoft и убеждают ввести код устройства. Затем злоумышленники получают OAuth-токен и могут перехватить аккаунт.
Вторая схема называется Adversary-in-the-Middle (AiTM). Платформа позволяет развернуть прокси-сервер, который перехватывает данные аутентификации и сведения о пользовательской сессии во время входа в систему. Это помогает обходить защиту и получать доступ к учетным записям.
ZeroBEC рекомендует компаниям ограничить использование функции кодов аутентификации Microsoft-аккаунтов, а также усилить мониторинг журналов Entra и Microsoft Authentication Broker, чтобы раньше выявлять подозрительную активность.
Ключевые факты
Forg365 распространяется по подписочной модели и предоставляет фишинговые инструменты для атак на Microsoft 365
Платформа включает браузерное расширение для сохранения длительного доступа к учетным записям жертв
Одна из схем атак использует ввод device code на официальной странице входа Microsoft для получения OAuth-токена