Forg365 PhaaS Serang Microsoft 365 dengan Phishing Kode Perangkat dan Pencurian Sesi AitM
Operasi phishing-as-a-service (PhaaS) terbaru bernama Forg365 mulai menyasar akun Microsoft 365 dengan metode phishing kode perangkat dan teknik adversary-in-the-middle (AitM) untuk mencuri sesi dan token otentikasi. Dengan harga langganan sekitar 400 dolar AS per bulan atau 3.800 dolar AS per tahun, Forg365 menawarkan layanan lengkap yang menggabungkan pembuatan umpan phishing berbasis AI, pengiriman email lewat infrastruktur resmi, hingga pengelolaan sesi yang dicuri.
Modus Operandi Forg365 dalam Menyerang Microsoft 365
Forg365 menggunakan serangkaian teknik canggih yang membuat kampanye phishing ini sulit dideteksi dan sangat efektif. Email phishing dikirim menggunakan layanan pengiriman email resmi seperti Amazon Simple Email Service (Amazon SES) dan Twilio SendGrid, yang digunakan untuk mengelabui korban dengan tampilan email yang sah dan mengarahkan ke domain yang dikontrol Forg365.
"Panel operator memperlihatkan alur kerja yang matang: akun, tautan, undangan, konfigurasi aplikasi OAuth, tautan pengalihan, pembuatan SVG, pengiriman kampanye, profil SMTP, rotasi SMTP, penghasilan email AI, penyimpanan token, intelijen akun, peringatan kata kunci, tautan pemirsa, dan dukungan ekstensi browser," jelas ZeroBAC, perusahaan keamanan email yang menganalisis Forg365.
Platform ini menyerupai ekosistem Kali365 (alias Octopi365 dan Freedom365) dan Sneaky 2FA, yang merupakan contoh industrialisasi model bisnis phishing saat ini. Dengan layanan berlangganan, pelaku ancaman tanpa keahlian teknis tinggi pun dapat menjalankan kampanye phishing dalam skala besar dengan mudah.
Teknik Phishing Kode Perangkat dan AitM yang Digunakan Forg365
Forg365 menggunakan cabang phishing kode perangkat yang menampilkan halaman verifikasi Microsoft palsu dan mengarahkan korban ke proses masuk Microsoft Authentication Broker yang asli. Namun, kode yang dimasukkan korban secara diam-diam memberikan akses sesi kepada penyerang.
"Korban melihat permukaan otentikasi Microsoft yang nyata, tetapi kode tersebut mengotorisasi sesi yang dikontrol penyerang," tambah ZeroBAC.
Untuk teknik AitM, Forg365 menggunakan token rute, cookie sesi, dan klasifikasi lalu lintas untuk menentukan apakah akan menampilkan konten phishing atau halaman umpan yang tidak berbahaya. Jika terdeteksi koneksi VPN, kit ini secara otomatis mengalihkan ke konten umpan untuk menghindari kecurigaan.
Fitur ForgCookie: Akses Persisten via Ekstensi Browser
Salah satu fitur menonjol Forg365 adalah ekstensi ForgCookie yang dirancang untuk browser berbasis Chromium seperti Google Chrome, Microsoft Edge, dan Brave. Ekstensi ini memungkinkan pembaruan otomatis cookie sesi (SSO) untuk layanan Microsoft, menjaga akses penyerang ke akun yang telah dikompromikan secara berkelanjutan.
- Meminta data akun dari backend Forg365
- Memanggil endpoint pembuatan cookie untuk akun terpilih
- Menghapus cookie sesi Microsoft yang lama
- Menyisipkan cookie kredensial refresh-token ke domain login Microsoft
- Memicu alur OAuth diam-diam
- Menangkap cookie Microsoft yang baru di seluruh domain Microsoft
Selain mencuri token dan kredensial, Forg365 juga memungkinkan operasi pasca-kompromi seperti pemantauan kata kunci dalam email korban dan pembuatan balasan pesan otomatis menggunakan AI.
Kampanye Phishing Terkait dan Ancaman yang Meluas
Pengungkapan Forg365 bertepatan dengan penemuan beberapa kampanye phishing yang menggunakan kit serupa untuk pencurian kredensial, termasuk:
- Email palsu aktivitas akun Microsoft dari akun SaaS pihak ketiga yang diretas
- Phishing menggunakan situs Canva yang memicu alur phishing kode perangkat dengan kit Kali65
- Penggunaan kit Kali365 untuk membuka sesi Chromium dan mengakses kotak surat korban secara langsung
- Phishing yang meniru messenger Rusia MAX untuk menargetkan pengguna berbahasa Rusia
- Pesan SMS palsu dari USPS dan UPS untuk pencurian data kartu secara real-time
- Serangan menggunakan alur penawaran palsu untuk menguasai akun Google dengan framework Nyasher
- Phishing dengan email yang mengarahkan ke halaman masuk Google palsu dalam kampanye GPPStorm
Untuk mengurangi risiko, para ahli menyarankan agar organisasi membatasi autentikasi kode perangkat hanya jika benar-benar diperlukan, memeriksa aktivitas aneh pasca event kode perangkat, mengaudit aturan alur surat, dan menonaktifkan alias email lama yang tidak aktif.
Analisis Redaksi
Menurut pandangan redaksi, kemunculan Forg365 menandai sebuah game-changer dalam ekosistem phishing karena menggabungkan teknologi tinggi seperti AI, evasi bot, dan teknik AitM dalam satu paket layanan berlangganan. Ini menurunkan ambang teknis bagi pelaku ancaman sekaligus meningkatkan efektivitas serangan phishing terhadap Microsoft 365 yang kini menjadi target utama organisasi global.
Selain itu, penggunaan ekstensi browser untuk mempertahankan akses ke akun yang dikompromikan menunjukkan bahwa ancaman tidak berhenti pada pencurian kredensial saja, tetapi berkembang ke eksploitasi jangka panjang yang sulit dideteksi. Organisasi perlu memprioritaskan keamanan berlapis termasuk pembatasan autentikasi kode perangkat dan analisis mendalam atas aktivitas mencurigakan pasca kompromi.
Kita harus terus memantau evolusi layanan PhaaS seperti Forg365 yang semakin mudah diakses dan disewa oleh beragam aktor berbahaya. Ini memperingatkan bahwa tanpa peningkatan kesadaran dan teknologi proteksi, risiko kebocoran data dan pengambilalihan akun penting akan terus meningkat secara signifikan.
Untuk informasi lengkap dan pembaruan terkini mengenai Forg365 dan ancaman siber lainnya, simak laporan lengkapnya di The Hacker News.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0