Startseite / News
News

Forg365: KI-Phishing-Plattform macht Microsoft-365-Angriffe zum Abo-Modell

Forg365: KI-Phishing-Plattform macht Microsoft-365-Angriffe zum Abo-Modell
← Alle Beiträge

Microsoft-365-Phishing wird zum fertigen Abo-Service

Mit Forg365 haben Sicherheitsforscher von ZeroBEC eine neue Phishing-as-a-Service-Plattform (PhaaS) analysiert, die gezielt Microsoft-365-Konten angreift. Die Plattform kombiniert Device-Code-Phishing, Adversary-in-the-Middle-Angriffe (AiTM), KI-gestützte Phishing-Mails und Funktionen für den dauerhaften Zugriff auf kompromittierte Konten in einer kommerziellen Komplettlösung.

Besonders bemerkenswert ist dabei nicht eine einzelne Angriffstechnik, sondern der hohe Professionalisierungsgrad. Forg365 wird über Telegram vertrieben, bietet Testzugänge und ein vollständiges Verwaltungsportal für Phishing-Kampagnen.

Telegram statt Darknet

Nach Angaben von ZeroBEC erfolgt die Vermarktung direkt über Telegram. Neue Kunden erhalten einen fünftägigen Testzugang. Anschließend kostet die Nutzung rund 400 US-Dollar pro Monat oder 3.800 US-Dollar pro Jahr.

Damit folgt Forg365 dem Geschäftsmodell moderner Phishing-Dienste, bei denen Kriminelle keine eigene Infrastruktur mehr entwickeln müssen. Stattdessen erhalten sie eine fertige Plattform inklusive Support, Updates und Kampagnenverwaltung.

KI erstellt die Phishing-Mails

Ein zentrales Merkmal ist die direkte Integration von künstlicher Intelligenz. Innerhalb des Betreiber-Dashboards lassen sich Phishing-Mails erzeugen, überarbeiten und an unterschiedliche Zielgruppen anpassen.

Parallel verwaltet die Plattform SMTP-Server, OAuth-Anwendungen, Weiterleitungen, Kampagnen, Landingpages sowie gestohlene Tokens. Die KI ist damit Teil des kompletten Angriffsworkflows und kein separates Werkzeug.

Device-Code-Phishing statt Passwortdiebstahl

Forg365 setzt auf zwei unterschiedliche Angriffsmethoden.

Beim Device-Code-Phishing werden Opfer auf eine echte Microsoft-Anmeldeseite geleitet und geben dort einen angezeigten Bestätigungscode ein. Das Passwort wird dabei nicht gestohlen. Stattdessen autorisiert das Opfer unbewusst ein vom Angreifer kontrolliertes Gerät über den offiziellen OAuth-Device-Code-Mechanismus.

Zusätzlich unterstützt die Plattform klassische AiTM-Angriffe, bei denen Sitzungscookies während der Anmeldung abgefangen werden. Dadurch lässt sich selbst eine aktivierte Multi-Faktor-Authentifizierung häufig umgehen.

ForgCookie sorgt für dauerhaften Zugriff

Besonders auffällig ist die Browser-Erweiterung ForgCookie. Sie dient dazu, Microsoft-SSO-Cookies automatisch zu aktualisieren und kompromittierte Sitzungen dauerhaft aufrechtzuerhalten.

Nach erfolgreicher Kompromittierung können Angreifer so langfristig auf Outlook, Teams, OneDrive oder SharePoint zugreifen, ohne dass sich das Opfer erneut anmeldet.

Mehr als nur Phishing

Das Dashboard enthält zahlreiche Funktionen für die Zeit nach dem erfolgreichen Angriff. Dazu gehören ein Token Vault zur Verwaltung gestohlener Zugangstokens, eine Kontenanalyse, Keyword-Überwachung von Postfächern, Viewer-Links zum Lesen von E-Mails sowie KI-Unterstützung für die Auswertung kompromittierter Inhalte.

Forg365 entwickelt sich damit von einem klassischen Phishing-Kit zu einer vollständigen Plattform für Business-E-Mail-Compromise und Identitätsdiebstahl.

Bekannte Infrastruktur wird missbraucht

Für den Versand der Phishing-Mails kommen unter anderem Amazon SES und SendGrid zum Einsatz. Landingpages werden über Cloudflare Pages und Cloudflare Workers bereitgestellt. Zusätzlich fanden die Forscher Hinweise auf Gophish-Komponenten für die Kampagnensteuerung.

Mehrere AntiBot-Mechanismen erkennen VPNs, Sandboxes oder Debugger und liefern in diesen Fällen harmlose Webseiten aus, um Sicherheitsforscher auszubremsen.

Parallelen zu Kali365 und Sneaky 2FA

ZeroBEC ordnet Forg365 in dieselbe Klasse wie Kali365 ein. Beide Plattformen werden über Telegram vertrieben und setzen auf Device-Code-Phishing, OAuth-Token-Diebstahl sowie KI-gestützte Kampagnen.

Auch Überschneidungen mit dem bekannten Sneaky-2FA-Ökosystem sind vorhanden. Einen Nachweis, dass dieselben Betreiber hinter den Plattformen stehen, gibt es jedoch derzeit nicht.

Einordnung

Forg365 zeigt, wie stark sich Phishing-as-a-Service professionalisiert. Statt einzelner Werkzeuge entsteht ein vollständiges Ökosystem aus KI, Kampagnenmanagement, Identitätsdiebstahl und dauerhafter Sitzungsübernahme.

Für Unternehmen bedeutet das vor allem eines: Klassische Passwortwechsel reichen nach einer Kompromittierung häufig nicht mehr aus. Sitzungen, OAuth-Tokens und Geräteautorisierungen müssen ebenfalls widerrufen werden. Gleichzeitig gewinnt die Überwachung von Device-Code-Anmeldungen in Microsoft Entra weiter an Bedeutung.

Quelle: ZeroBEC – Inside Forg365: A Telegram-Distributed Sneaky 2FA-Style PhaaS Targeting Microsoft 365.

J

Über den Autor

Jens Könnig

Jens analysiert seit Jahren digitale Märkte, Preisbewegungen und Plattform-Strategien. Als Betreiber mehrerer datengetriebener Systeme wertet er täglich große Mengen an Produkt- und Trenddaten aus. Sein Fokus liegt auf Einordnung statt Hype: Was bedeutet eine Entwicklung wirklich für Nutzer, Preise und Märkte?

Alle Artikel von Jens Könnig →