Forg365: Dịch vụ phishing dùng AI giúp tin tặc chiếm tài khoản Microsoft 365

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
2.027 bài viết
Forg365: Dịch vụ phishing dùng AI giúp tin tặc chiếm tài khoản Microsoft 365
Nền tảng Phishing-as-a-Service (PhaaS) mới mang tên Forg365 bị phát hiện được thiết kế để đánh cắp tài khoản Microsoft 365 với mức độ tự động hóa rất cao. Không chỉ sử dụng các kỹ thuật lừa đảo quen thuộc như Device Code Phishing và Adversary-in-the-Middle (AitM), Forg365 còn tích hợp trí tuệ nhân tạo, khả năng vượt qua hệ thống chống bot, đánh cắp phiên đăng nhập và tự động khai thác hộp thư sau khi xâm nhập.
ad4da4f8-423a-4a6a-b560-0d6469706fa3.png

Bộ công cụ này còn được rao bán công khai trên Telegram với giá khoảng 400 USD/tháng hoặc 3.800 USD/năm, cho phép ngay cả những đối tượng không có nhiều kiến thức kỹ thuật cũng có thể triển khai các chiến dịch lừa đảo quy mô lớn nhằm vào doanh nghiệp sử dụng Microsoft 365.​

Forg365 là gì?​

Forg365 là một nền tảng Phishing-as-a-Service (PhaaS), tức "dịch vụ lừa đảo thuê bao". Thay vì tự xây dựng hạ tầng và công cụ tấn công, kẻ xấu chỉ cần đăng ký tài khoản, trả phí và sử dụng sẵn toàn bộ hệ thống do nhà phát triển cung cấp.

Theo ZeroBEC, Forg365 là thế hệ mới của các bộ công cụ như Kali365 (Octopi365/Freedom365) hay Sneaky 2FA, nhưng được nâng cấp mạnh mẽ nhờ tích hợp AI và nhiều chức năng tự động hóa sau khi chiếm được tài khoản.

Toàn bộ quá trình từ tạo email giả mạo, gửi email, đánh cắp token xác thực, duy trì phiên đăng nhập cho tới giám sát hộp thư của nạn nhân đều được thực hiện trên một bảng điều khiển duy nhất.​

Forg365 hoạt động như thế nào?​

Khác với các chiến dịch phishing truyền thống chỉ đánh cắp tên đăng nhập và mật khẩu, Forg365 hướng tới chiếm luôn phiên đăng nhập hợp lệ (Session Hijacking) và mã thông báo OAuth. Chuỗi tấn công thường bắt đầu bằng các email giả mạo liên quan đến tài liệu doanh nghiệp, hóa đơn hoặc yêu cầu phê duyệt thanh toán.

Điểm đặc biệt là email không được gửi từ hạ tầng độc hại thông thường mà lợi dụng các dịch vụ gửi email uy tín như Amazon Simple Email Service và Twilio SendGrid. Điều này giúp email có khả năng vượt qua các bộ lọc chống spam và tạo cảm giác đáng tin cậy hơn đối với người nhận.

Bên trong email, các liên kết sẽ trải qua nhiều bước chuyển hướng trước khi dẫn nạn nhân tới tên miền do Forg365 kiểm soát, khiến việc phát hiện và chặn chiến dịch trở nên khó khăn hơn.​

Device Code Phishing - kỹ thuật đánh cắp tài khoản không cần mật khẩu​

Một trong những tính năng nguy hiểm nhất của Forg365 là Device Code Phishing. Đây là hình thức tấn công lợi dụng cơ chế đăng nhập hợp pháp của Microsoft dành cho các thiết bị không có bàn phím hoặc trình duyệt.

Kẻ tấn công hiển thị cho nạn nhân một mã xác thực giống hệt giao diện Microsoft và hướng dẫn nhập mã này trên trang đăng nhập thật của Microsoft. Do người dùng thực sự đăng nhập trên máy chủ của Microsoft nên họ không nghi ngờ.

Tuy nhiên, mã xác thực đó lại liên kết với phiên đăng nhập do tin tặc khởi tạo từ trước. Khi nạn nhân hoàn tất quá trình xác thực, Microsoft sẽ cấp mã truy cập (OAuth Token) cho phiên của kẻ tấn công thay vì của chính người dùng. Điều này đồng nghĩa với việc không cần biết mật khẩu, tin tặc vẫn có thể truy cập tài khoản Microsoft 365.​

Tấn công AitM để vượt qua xác thực đa yếu tố (MFA)​

Forg365 cũng hỗ trợ kỹ thuật Adversary-in-the-Middle (AitM). Trong kịch bản này, nền tảng hoạt động như một máy chủ trung gian giữa người dùng và Microsoft. Mọi thông tin đăng nhập, cookie phiên và mã xác thực MFA đều được chuyển tiếp theo thời gian thực.

Sau khi người dùng hoàn tất xác thực, bộ công cụ sẽ lấy được cookie phiên đăng nhập hợp lệ, cho phép kẻ tấn công truy cập tài khoản mà không cần yêu cầu MFA lần nữa.

Để tránh bị phát hiện, Forg365 còn tích hợp nhiều cơ chế chống phân tích. Nếu phát hiện truy cập từ VPN, môi trường phân tích hoặc hệ thống tự động, nền tảng sẽ chuyển người truy cập sang các trang web vô hại thay vì hiển thị giao diện phishing.​

Tiện ích mở rộng ForgCookie giúp duy trì quyền truy cập​

Một tính năng mới khiến các chuyên gia đặc biệt lo ngại là ForgCookie. Đây là tiện ích mở rộng dành cho các trình duyệt dựa trên Chromium như Google Chrome, Microsoft Edge và Brave.

Sau khi chiếm được tài khoản, tiện ích này có thể:​
  • Tự động lấy token từ máy chủ Forg365.​
  • Tạo cookie đăng nhập mới.​
  • Xóa cookie Microsoft hiện có.​
  • Chèn cookie mới vào trình duyệt.​
  • Kích hoạt đăng nhập OAuth ngầm.​
  • Thu thập toàn bộ cookie hợp lệ của Microsoft.​
Nhờ đó, kẻ tấn công có thể liên tục duy trì quyền truy cập vào tài khoản, ngay cả khi phiên đăng nhập cũ hết hạn.​

AI đang biến phishing trở nên nguy hiểm hơn​

Một trong những điểm khác biệt lớn nhất của Forg365 là việc tích hợp AI. Trên thực tế, AI được sử dụng để:​
  • Tự động tạo email lừa đảo với nội dung tự nhiên hơn.​
  • Viết nội dung phù hợp theo từng doanh nghiệp hoặc từng mục tiêu.​
  • Tự động trả lời email trong các cuộc hội thoại đã bị chiếm quyền.​
  • Theo dõi các từ khóa quan trọng trong hộp thư như "Invoice", "Payment", "Bank", "Transfer", "Confidential",...​
  • Hỗ trợ tin tặc xác định các email có giá trị để tiếp tục mở rộng cuộc tấn công.​
Điều này khiến chiến dịch phishing không còn chỉ dừng lại ở việc đánh cắp tài khoản mà có thể phục vụ các cuộc tấn công Business Email Compromise (BEC) hoặc gian lận chuyển tiền.​

Sau khi chiếm tài khoản, tin tặc có thể làm gì?​

Forg365 không chỉ đánh cắp thông tin xác thực. Sau khi có quyền truy cập Microsoft 365, nền tảng còn hỗ trợ:​
  • Theo dõi email theo thời gian thực.​
  • Tìm kiếm các email chứa từ khóa nhạy cảm.​
  • Đọc thư điện tử.​
  • Soạn thư trả lời bằng AI.​
  • Quản lý token truy cập.​
  • Theo dõi trạng thái các tài khoản đã bị xâm nhập.​
  • Mở rộng tấn công sang các đồng nghiệp và đối tác thông qua chính hộp thư bị chiếm quyền.​
Đây là lý do các chuyên gia đánh giá Forg365 giống một nền tảng quản lý chiến dịch tấn công hoàn chỉnh, thay vì chỉ là một bộ công cụ phishing.​

Forg365 cho thấy xu hướng công nghiệp hóa của phishing​

ZeroBEC nhận định Forg365 phản ánh xu hướng "công nghiệp hóa" tội phạm mạng. Nếu trước đây kẻ tấn công phải tự xây dựng máy chủ, thiết kế email giả mạo và phát triển công cụ đánh cắp tài khoản thì nay mọi thứ đều được cung cấp dưới dạng dịch vụ thuê bao.

Chỉ cần vài trăm USD mỗi tháng, một đối tượng gần như không có kỹ năng lập trình vẫn có thể vận hành các chiến dịch phishing nhắm vào hàng nghìn doanh nghiệp.

Điều này khiến rào cản kỹ thuật của tội phạm mạng ngày càng thấp, trong khi quy mô và mức độ tinh vi của các chiến dịch lừa đảo lại tăng lên đáng kể.​

Không chỉ Forg365, hàng loạt bộ công cụ phishing mới cũng đang xuất hiện​

ZeroBEC đồng thời ghi nhận nhiều chiến dịch phishing khác đang hoạt động mạnh như:​
  • Kali365 (Octopi365/Freedom365) lợi dụng Device Code Phishing để chiếm tài khoản Microsoft 365.​
  • Sneaky 2FA sử dụng kỹ thuật AitM nhằm đánh cắp cookie xác thực.​
  • The Quarry giả mạo Microsoft, Adobe, Dropbox, IRS, DocuSign... để cài đặt phần mềm điều khiển từ xa.​
  • Nyasher chiếm tài khoản Google bằng quy trình giả mạo đấu thầu.​
  • GPPStorm giả mạo chương trình Google Premier Partner.​
  • EvilTokens lợi dụng các bí danh email cũ để triển khai Device Code Phishing.​
Sự xuất hiện đồng thời của nhiều nền tảng này cho thấy hệ sinh thái PhaaS đang phát triển rất nhanh và ngày càng chuyên nghiệp.​

Khuyến nghị​

Để giảm thiểu nguy cơ bị Forg365 và các nền tảng tương tự tấn công, các chuyên gia khuyến nghị:​
  • Vô hiệu hóa Device Code Authentication nếu tổ chức không sử dụng.​
  • Theo dõi các sự kiện đăng nhập bằng Device Code trong Microsoft Entra ID.​
  • Kiểm tra các ứng dụng OAuth đã được cấp quyền và thu hồi những ứng dụng bất thường.​
  • Rà soát các quy tắc chuyển tiếp email và các thay đổi bất thường trong hộp thư.​
  • Xóa các địa chỉ email hoặc tên miền cũ không còn sử dụng để tránh bị lợi dụng.​
  • Tăng cường triển khai xác thực chống phishing như FIDO2/WebAuthn thay cho các phương thức xác thực truyền thống.​
  • Đào tạo nhân viên nhận biết các hình thức Device Code Phishing và AitM, bởi đây đang là xu hướng tấn công mới nhắm vào Microsoft 365.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
aitm forg365 forgcookie oauth token phishing
Bên trên