Le service distribué par Telegram combine des leurres assistés par l’IA avec du phishing de code d’appareil et une actualisation de session côté attaquant, compliquant ainsi le confinement après la violation d’un compte.
Une plate-forme de phishing en tant que service récemment documentée distribuée via Telegram réduit la barrière technique aux piratages de comptes Microsoft 365 en fournissant aux attaquants moins qualifiés des outils automatisés pour échapper à certains contrôles d’authentification et conserver l’accès après une compromission.
La plate-forme, appelée Forg365, utilise la création de leurres assistée par l’IA ainsi que les techniques d’abus de code d’appareil et d’adversaire au milieu, selon une étude publiée par la société de sécurité ZeroBEC.
Forg365 était proposé avec un essai gratuit de cinq jours, suivi d’abonnements au prix de 400 dollars par mois ou 3 800 dollars par an, ont indiqué les chercheurs.
Les clients peuvent créer des leurres de phishing et contrôler la livraison des e-mails via un panneau de commande unique. Ils peuvent également gérer les données de compte capturées et surveiller les boîtes aux lettres Microsoft 365 compromises. Le service comprend des modèles qui imitent les plateformes commerciales largement utilisées telles que DocuSign, Adobe Acrobat Sign, SharePoint et OneDrive.
« Le phishing en tant que service existe depuis plusieurs années », a déclaré Jonathan Ong, analyste principal des services de sécurité gérés chez Omdia. « Mais le degré auquel l’IA est intégrée dans Forg365 et permet aux utilisateurs est ce qui la rend préoccupante. »
L’importance de Forg365 réside dans l’industrialisation et la productisation du flux de travail des opérateurs, selon Devashri Datta, chercheur en cybersécurité. « Il intègre la création de leurres assistée par l’IA, l’évasion et les opérations de boîte aux lettres post-compromise dans un service d’abonnement distribué via Telegram », a déclaré Datta.
Comment fonctionne Forg365
ZeroBEC a déclaré que la campagne sur laquelle il a enquêté a commencé avec un e-mail construit autour d’un prétexte de document commercial et d’approbation de versement. Le message s’appuyait sur des services cloud et de messagerie légitimes avant d’envoyer le destinataire via plusieurs redirections.
Forg365 a classé les visiteurs avant de décider s’il fallait afficher une page de phishing de code d’appareil, un flux d’adversaire au milieu ou un leurre inoffensif.
Dans l’attaque par code de périphérique, la victime est dirigée vers un processus d’authentification Microsoft légitime et persuadée de saisir un code autorisant une session contrôlée par l’attaquant. L’implication d’une véritable infrastructure Microsoft peut rendre la demande crédible.
La plate-forme peut également relayer l’authentification via une attaque d’adversaire au milieu et capturer les informations de session. ZeroBEC a déclaré que les visiteurs suspects étaient redirigés vers une page inoffensive, aidant ainsi les opérateurs à dissimuler le flux de phishing aux chercheurs et aux outils de sécurité automatisés.
Réponse aux incidents compliquée
Une extension de navigateur appelée ForgCookie permet aux attaquants de générer et d’actualiser les cookies d’authentification unique Microsoft à partir de leurs propres navigateurs, a déclaré ZeroBEC.
Forg365 propose également des outils permettant de maintenir les sessions actives et de surveiller une boîte de réception compromise. L’accès en lecture seule à la boîte aux lettres peut ensuite être partagé via un lien protégé par mot de passe.
Par conséquent, la réinitialisation d’un mot de passe ne peut pas supprimer l’attaquant. Le matériel de jeton d’actualisation volé ou une session contrôlée par un attaquant pourrait rester utilisable après la modification du mot de passe. Tous les appareils enregistrés lors de la compromission doivent également faire l’objet d’une enquête.
« Les RSSI devraient traiter deux contrôles comme des priorités égales plutôt que séquentielles », a déclaré Datta, faisant référence à la restriction stricte de l’authentification du code de l’appareil et au déploiement d’une MFA résistante au phishing, telle que les clés d’accès FIDO2 ou WebAuthn.
Les organisations qui n’exigent pas l’authentification du code de l’appareil devraient envisager de la bloquer dans Microsoft Entra ID, a déclaré Keith Prabhu, fondateur et PDG de Confidis. Cela peut perturber le composant code de l’appareil d’une campagne Forg365, même si cela n’arrêtera pas les attaques qui reposent sur des techniques d’adversaire au milieu ou sur des cookies de session volés.
Les entreprises qui dépendent encore de l’authentification par code d’appareil devraient identifier les utilisations légitimes avant d’imposer une restriction plus large. Des exceptions peuvent être nécessaires pour certains outils de ligne de commande, systèmes de salle de conférence ou autres appareils dotés de capacités d’entrée limitées.
Le déploiement d’une authentification résistante au phishing peut également nécessiter des clés de sécurité matérielles ou des smartphones gérés et pourrait augmenter les demandes d’assistance pendant la transition, a déclaré Datta.
Après avoir détecté une compromission, les équipes d’intervention doivent révoquer les jetons d’actualisation actifs et mettre fin aux sessions existantes. Prabhu a également recommandé de revoir et de révoquer les autorisations OAuth non autorisées. Étant donné que ForgCookie s’exécute dans le navigateur de l’attaquant, les défenseurs doivent rechercher les connexions silencieuses répétées et les activités Microsoft Graph non interactives à partir d’adresses inconnues, selon ZeroBEC.
Les règles de transfert de boîtes aux lettres et l’accès délégué doivent être examinés pour détecter toute modification non autorisée, a déclaré Prabhu. De tels changements pourraient permettre aux attaquants de surveiller les communications ou de conserver l’accès après une réinitialisation du mot de passe.
« Les équipes IR doivent auditer les appareils nouvellement enregistrés et supprimer ceux qui ne peuvent pas être attribués à l’utilisateur », a déclaré Datta. Les équipes doivent également vérifier si un attaquant a enregistré une application d’authentification non autorisée ou un mot de passe lors de la compromission, a-t-elle ajouté.
ZeroBEC a découvert que certains appareils enregistrés au cours de son enquête portaient des noms commençant par « Forg365 », ce qui donne aux défenseurs un indicateur possible de compromission.



