Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Superando los límites de la aceleración del plasma láser

Forg365 PhaaS apunta a Microsoft 365 con código de dispositivo y robo de sesión AitM

Uber’s robotaxi lobbying effort puts it on a collision course with Waymo

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Forg365 PhaaS apunta a Microsoft 365 con código de dispositivo y robo de sesión AitM
Identidad

Forg365 PhaaS apunta a Microsoft 365 con código de dispositivo y robo de sesión AitM

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 13, 2026No hay comentarios8 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Una nueva operación de phishing como servicio (PhaaS) llamada Forg365 utiliza una combinación de phishing de código de dispositivo, tácticas de intermediario (AitM), evasión anti-bot, creación de señuelos asistida por inteligencia artificial (IA) y operaciones de buzón posteriores al compromiso dirigidas a cuentas de Microsoft 365.

La cadena de ataque, que se distribuye a través de Telegram y cuesta $400 por mes (o $3,800 por año), aprovecha una estafa de phishing que aprovecha la infraestructura legítima de entrega de correo electrónico como Amazon Simple Email Service (Amazon SES) o Twilio SendGrid para imitar una cadena de redireccionamiento que se mezcla con el tráfico de correo electrónico regular antes de terminar en un dominio controlado por Forg365.

«Este panel expone flujos de trabajo de operadores maduros, incluidas cuentas, enlaces, invitaciones, configuración de aplicaciones OAuth, enlaces de redireccionamiento, generación de SVG, envío de campañas, perfiles SMTP, rotación SMTP, generación de correo electrónico de IA, almacenamiento de tokens, inteligencia de cuentas, alertas de palabras clave, enlaces de visores y compatibilidad con extensiones de navegador», dijo ZeroBAC.

La empresa de seguridad del correo electrónico dice que su kit PhaaS se entiende mejor como similar a los ecosistemas Kali365 (también conocido como Octopi365 y Freedom365) y Sneaky 2FA, y refleja la industrialización de su modelo de negocio. Combina creación de señuelos, entrega, evasión, manejo de tokens/sesiones y operaciones posteriores al compromiso en una configuración basada en suscripción, lo que permite a atacantes con poca o ninguna experiencia técnica orquestar campañas de phishing a escala con un esfuerzo mínimo.

Se han observado cadenas de ataques que utilizan Forg365 utilizando temas de documentos comerciales o señuelos de autorización de transferencias de dinero para engañar a los destinatarios para que hagan clic en enlaces maliciosos. El dominio del remitente utiliza Amazon SES para la entrega, pero el cuerpo del mensaje incluye imágenes o recursos de seguimiento alojados en SendGrid.

Los clientes que hayan completado con éxito el registro en Telegram tendrán acceso a un panel de operador accesible a través de Clearnet (“logfriend(.)com/login”) desde el cual podrán generar señuelos, configurar campañas y administrar tokens capturados.

«Forg365 incluye una rama de phishing de autenticación de dispositivos que presenta una página de códigos de verificación al estilo de Microsoft y obliga a las víctimas a ingresar a un flujo de inicio de sesión legítimo del Agente de autenticación de Microsoft», explicó ZeroBAC. «A la víctima se le presenta una pantalla de autenticación genuina de Microsoft, pero el código permite una sesión controlada por el atacante».

Para el phishing de AitM, la plataforma utiliza tokens de raíz, cookies de sesión y clasificación del tráfico para decidir si ofrece contenido de phishing o un señuelo benigno. Si se detecta una conexión VPN, el kit redirige a contenido señuelo benigno en lugar de exponer una página de phishing.

Lo notable de la plataforma Forg365 es que ofrece una extensión llamada ForgCookie para navegadores basados ​​en Chromium como Google Chrome, Microsoft Edge y Brave que está diseñada para brindar acceso continuo a cuentas comprometidas. Este complemento, llamado «Actualizar automáticamente las cookies de SSO para los servicios de Microsoft», actúa como intermediario entre la adquisición de tokens y el acceso al navegador repitiendo los pasos que se enumeran a continuación.

Solicite datos de la cuenta desde el backend de Forg365. Llama al punto final de generación de cookies para la cuenta seleccionada. Borre las cookies de sesión de Microsoft. Inserte la cookie de credencial del token de actualización generada en su dominio de inicio de sesión de Microsoft. Activa un flujo OAuth silencioso. Captura las cookies de Microsoft resultantes en todos los dominios de Microsoft.

Más allá de la simple recopilación de credenciales y tokens, Forg365 facilita una amplia gama de acciones posteriores a una infracción, incluido el monitoreo de palabras clave específicas dentro de cuentas de correo electrónico comprometidas y la redacción de respuestas a mensajes para hilos de correo electrónico específicos con la ayuda de IA.

«El resultado es una plataforma que reduce el umbral de habilidades al tiempo que aumenta la coherencia operativa. Los afiliados menos experimentados pueden usar plantillas prediseñadas, mientras que los operadores más capaces pueden personalizar las páginas de destino, rotar la infraestructura, administrar tokens, generar material de cookies y monitorear cuentas comprometidas», dijo ZeroBAC.

Esta divulgación coincidió con el descubrimiento de varias campañas que utilizaban kits de phishing para el robo de credenciales.

Envía alertas falsas de actividad de cuentas de Microsoft desde cuentas de remitentes SaaS de terceros legítimas pero comprometidas, dirigiendo a los usuarios a páginas furtivas de phishing estilo 2FA e iniciando una cadena de redireccionamiento que conduce al host de phishing final. Pero no sin antes realizar comprobaciones para determinar si el visitante es un usuario genuino. Utilice un correo electrónico de phishing que dirija a los destinatarios a un sitio web alojado en Canva, active un flujo de phishing de código de dispositivo y secuestra una cuenta de Microsoft utilizando el kit de phishing Kali65. El kit admite más de 33 señuelos diferentes, canales de pago y una aplicación de escritorio llamada OctoLink Live (también conocida como Kali365 Live) que explota tokens robados para iniciar una sesión del navegador Chromium y abrir el buzón de correo de la víctima ubicado en OWA, OneDrive, SharePoint o admin.microsoft.com. La plataforma también ofrece una herramienta conocida como OctoLink Sender, que envía una avalancha de correos electrónicos de phishing desde una cuenta comprometida a otros contactos, una técnica conocida como phishing lateral. La campaña de phishing que utiliza Kali365 también distribuyó páginas de phishing disfrazadas del MAX Messenger de Rusia, lo que indica un intento de identificar a los usuarios en Rusia. «Un operador de phishing que pueda convertir la apropiación de una cuenta MAX en una propagación tiene acceso a una de las bases de mensajería más grandes del mundo de habla rusa», dijo Arctic Wolf. Como parte de una campaña de phishing que utiliza un kit PhaaS llamado The Quarry, desarrollado, mantenido y vendido por una sola entidad llamada RockyBelling, trabaja con Adobe, Microsoft, DocuSign y Dropbox para enviar correos electrónicos imitando al IRS y la Administración de la Seguridad Social para entregar software legítimo de acceso remoto como ConnectWise ScreenConnect. Los kits varían en precio entre $500 y $3,000. Esto incluye herramientas como Rocky Gmail Sender (una herramienta de correo electrónico masivo), Rocky Email Sorter (clasifica direcciones de correo electrónico por dominio para Gmail, Yahoo, Hotmail y AOL) y VioletRAT. Envían mensajes SMS haciéndose pasar por el Servicio Postal de los Estados Unidos (USPS) o UPS, engañando a las víctimas para que visiten una página de phishing, pidiéndoles que ingresen información personal y financiera con el pretexto de una entrega fallida del paquete y programando una nueva entrega. «Bajo engaño, este kit recopila datos en tiempo real», dijo Censys. «Abre un WebSocket en su lugar, transmite los datos de la tarjeta de la víctima con cada pulsación de tecla, realiza una búsqueda BIN del número de tarjeta en el lado del servidor y envía decisiones de enrutamiento (reintentos, solicitudes de PIN, solicitudes de OTP, interruptores de apagado) de regreso al navegador de la víctima durante la entrada de la víctima». Se utiliza un marco llamado Nyasher para secuestrar una cuenta de Google mediante un flujo de trabajo de propuesta de oferta falsa. Las cadenas de redireccionamiento incluyen una página de verificación de «presion prolongada» para filtrar los escáneres y bots automatizados antes de navegar a las URL de blobs. «La página final mostraba la interfaz de inicio de sesión de Google, pero no era accesible como un documento HTML alojado normal», dijo ZeroBAC. «Existía como una URL de objeto generada por el navegador». Los correos electrónicos de phishing utilizan flujos de trabajo de registro falsos de Google Partners y Google Premier Partner para redirigir a los destinatarios a una página de inicio de sesión de Google falsa diseñada para capturar credenciales en tiempo real como parte de una campaña con el nombre en código GPPStorm. Se dirige a la bandeja de entrada del usuario utilizando un alias de correo electrónico tradicional e inicia un flujo de phishing de código de dispositivo que utiliza el kit EvilTokens. «El kit llegó a través de un enlace de seguimiento de Mailjet, luego de un sitio de WordPress comprometido, luego de un intersticial CAPTCHA y luego de un host de Cloudflare Workers», dijo ZeroBAC. «Hay tres saltos de infraestructura en vivo entre el cuerpo del correo electrónico y el kit, ninguno de los cuales es el kit en sí».

Para combatir estas amenazas, recomendamos bloquear la autenticación del código del dispositivo a menos que sea necesario, revisar los artefactos del buzón de correo después de un evento de código del dispositivo para detectar signos de actividad inusual, auditar las reglas de flujo de correo y retirar los alias heredados que ya no corresponden a empleados activos.

«Esta campaña logró llegar a las bandejas de entrada porque la organización receptora mantuvo una relación de reenvío activa desde el espacio de nombres previo a la adquisición hasta el buzón de correo actual», señaló ZeroBAC.

«El atacante utilizó una identificación del historial que aún se podía resolver para entregar un correo electrónico que parecía una comunicación reenviada normal desde la perspectiva de SEG. Desde la perspectiva del usuario, el mensaje llegó a su bandeja de entrada de trabajo sin pistas visibles de que siguió una ruta indirecta».


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleUber’s robotaxi lobbying effort puts it on a collision course with Waymo
Next Article Superando los límites de la aceleración del plasma láser
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Meta presenta una patente para una IA que puede escuchar durante todo el día y rastrear el estado de ánimo

julio 13, 2026

El caso de combinar IA autónoma con un copiloto analista

julio 13, 2026

El atacante utiliza un script de PowerShell que parece estar generado por IA para asignar Active Directory

julio 13, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Superando los límites de la aceleración del plasma láser

Forg365 PhaaS apunta a Microsoft 365 con código de dispositivo y robo de sesión AitM

Uber’s robotaxi lobbying effort puts it on a collision course with Waymo

Meta presenta una patente para una IA que puede escuchar durante todo el día y rastrear el estado de ánimo

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.