Siber güvenlik dünyasında yeni bir tehdit ortaya çıktı: Forg365. Bu phishing-as-a-service (PhaaS) platformu, Microsoft 365 hesaplarını çalmak için yapay zeka destekli tuzak e-postalar oluşturuyor. ZeroBEC araştırmacıları tarafından keşfedilen platform, cihaz kodu (device code) ve ortadaki düşman (AiTM) yöntemlerini birleştirerek kurbanları kandırıyor. Ayrıca, çalınan hesaplara sürekli erişim sağlamak için bir tarayıcı eklentisi de sunuyor.
Forg365'in en dikkat çekici özelliği, yapay zeka kullanarak kişiselleştirilmiş kimlik avı e-postaları oluşturması. Araştırmacılar, bu e-postaların iş belgesi gibi görünerek güvenilir bir hizmeti taklit ettiğini belirtiyor. Amazon SES üzerinden gönderilen e-postalar, SendGrid barındırmalı görseller veya takip kaynakları içeriyor. Bu sayede platform, meşru trafiğin içine karışarak fark edilmemeyi başarıyor.
ZeroBEC, Forg365'in kontrol paneline erişmeyi başardı. Panel, yeni kampanyalar oluşturma, phishing bağlantıları yönetme, OAuth uygulamaları ve SMTP profilleri yapılandırma, token yönetimi ve yapay zeka yardımıyla e-posta oluşturma gibi özellikler sunuyor. Yapay zeka entegrasyonu, panel üzerinden doğrudan e-posta metni oluşturmayı ve düzenlemeyi mümkün kılıyor. Bu, hem kişiselleştirilmiş içerik üretimini kolaylaştırıyor hem de platform geliştirme maliyetlerini düşürüyor.
Teknik Analiz
Platformun bir diğer önemli özelliği ise ForgCookie adlı tarayıcı eklentisi. Google Chrome, Microsoft Edge ve Brave ile uyumlu olan bu eklenti, Microsoft SSO çerezlerini otomatik olarak yeniliyor. Eklenti, arka planda sessiz bir OAuth akışı başlatarak yeni çerezleri yakalıyor ve saldırganın kurbanın hesabına sürekli erişmesini sağlıyor. Ayrıca panel, ele geçirilen posta kutularını belirli anahtar kelimeler için tarayan bir özellik de içeriyor.
Sistem Güvenliği
Forg365 iki ana saldırı yöntemi kullanıyor: cihaz kodu phishing ve AiTM phishing. Cihaz kodu yönteminde, kurbanlara Microsoft tarzı bir doğrulama kodu sayfası gösteriliyor ve akıllı TV, IoT cihazları gibi giriş kısıtlaması olan cihazlar için tasarlanmış meşru OAuth 2.0 cihaz kodu akışını kullanarak kimlik doğrulamaları isteniyor. Bu sayede kurban, saldırganın kontrolündeki bir cihazı yetkilendirmeye ikna ediliyor. AiTM yönteminde ise bir proxy üzerinden Microsoft altyapısı ile hedef hesap arasındaki tüm veri akışı izleniyor ve oturum çerezleri ele geçiriliyor.
Platform, araştırmacıların erişimini engellemek için AntiBot özelliği de barındırıyor. AES şifrelemeli yönlendiriciler, bot algılama, hata ayıklama tuzakları, sanal kutu kontrolleri ve polimorfik kod gibi teknikler kullanılıyor. Ayrıca VPN tespit edildiğinde, phishing sayfaları yerine zararsız içerik gösteriliyor. ZeroBEC, platformun e-posta gönderimi için Amazon SES, açılış sayfaları için Cloudflare Pages ve kampanya yönetimi için Gophish altyapısını kullandığını rapor ediyor.
Kullanıcıların bu tehdide karşı alabileceği önlemler arasında, Microsoft cihaz kodu kimlik doğrulamasını gereksiz yere devre dışı bırakmak, Microsoft Entra günlüklerini cihaz kodu olayları için izlemek, posta kutusu kurallarını, yeni cihaz oturum açmalarını, Microsoft Kimlik Doğrulama Aracısı etkinliğini ve OAuth izinlerini düzenli olarak kontrol etmek yer alıyor. Şüpheli durumlarda tüm token ve oturumların derhal iptal edilmesi ve yenilenmesi öneriliyor.
Kaynak: bleepingcomputer.com