ZeroBAC ordnet Forg365 in ein bereits etabliertes Umfeld von Phishing-Baukästen ein und zieht Parallelen zu Kali365, auch bekannt als Octopi365 und Freedom365, sowie zum Sneaky-2FA-Ökosystem. Nach Einschätzung der Sicherheitsfirma zeigt die Plattform die Industrialisierung dieses Geschäftsmodells: Ködererstellung, Zustellung, Umgehung, Token- und Sitzungsverwaltung sowie Aktivitäten nach der Kompromittierung werden in einem abonnierbaren Gesamtpaket gebündelt. Das senke die technische Einstiegshürde und ermögliche auch Akteuren mit wenig Fachwissen, Phishing-Kampagnen mit geringem Aufwand und in großem Maßstab durchzuführen.
Beobachtete Angriffsketten setzten laut ZeroBAC auf Köder rund um Geschäftsdokumente oder die Freigabe von Zahlungen, um Empfänger zum Klick auf schädliche Links zu bewegen. Für den Versand kommt Amazon SES zum Einsatz, während der Nachrichtentext Bilder oder Tracking-Ressourcen enthält, die über SendGrid gehostet werden. Wer die Registrierung über Telegram erfolgreich abschließt, erhält Zugriff auf ein Bedienpanel im offenen Internet unter „logfriend[.]com/login“, über das sich Köder erzeugen, Kampagnen einrichten und abgefangene Token verwalten lassen.
Eine zentrale Komponente ist ein Zweig für Geräteauthentifizierungs-Phishing. ZeroBAC zufolge zeigt Forg365 dabei eine im Stil von Microsoft gehaltene Seite für Verifizierungscodes an und lenkt das Opfer in einen legitimen Anmeldeablauf des Microsoft Authentication Broker. Das Opfer sieht also echte Microsoft-Anmeldeoberflächen, während der eingegebene Code eine vom Angreifer kontrollierte Sitzung autorisiert.
Für Adversary-in-the-Middle-Phishing nutzt die Plattform den Angaben zufolge Routen-Token, Sitzungs-Cookies und eine Klassifizierung des Datenverkehrs, um zu entscheiden, ob Phishing-Inhalte oder harmlose Täuschungsseiten ausgeliefert werden. Wird eine VPN-Verbindung erkannt, leitet der Baukasten auf unverdächtige Lockinhalte um, statt die eigentlichen Phishing-Seiten anzuzeigen.
Auffällig ist außerdem eine Erweiterung namens ForgCookie für Chromium-basierte Browser wie Google Chrome, Microsoft Edge und Brave. Sie soll den dauerhaften Zugriff auf kompromittierte Konten ermöglichen. ZeroBAC beschreibt das Add-on als „automatische Aktualisierung von SSO-Cookies für Microsoft-Dienste“. Die Erweiterung fungiert demnach als Vermittler zwischen der Beschaffung von Token und dem Browser-Zugriff.
Forg365 beschränkt sich laut Bericht nicht auf das Abgreifen von Zugangsdaten und Token. Die Plattform unterstützt auch nachgelagerte Aktionen in kompromittierten Postfächern, darunter die Überwachung auf bestimmte Schlüsselwörter sowie das Entwerfen einer Antwort innerhalb eines konkreten E-Mail-Threads mithilfe von Künstlicher Intelligenz. ZeroBAC folgert daraus, dass weniger erfahrene Partner vorgefertigte Vorlagen nutzen können, während versiertere Betreiber Landing-Pages anpassen, Infrastruktur rotieren, Token verwalten, Cookie-Material erzeugen und kompromittierte Konten überwachen.
Im Zusammenhang mit der Veröffentlichung verweist der Bericht auch auf Empfehlungen zur Abwehr solcher Angriffe. Genannt werden das Blockieren der Gerätecode-Authentifizierung, sofern sie nicht benötigt wird, die Prüfung von Mailbox-Artefakten nach Gerätecode-Ereignissen auf ungewöhnliche Aktivitäten, die Kontrolle von Mail-Flow-Regeln sowie die Stilllegung veralteter Alias-Adressen, die keinen aktiven Mitarbeitern mehr zugeordnet sind.
ZeroBAC schildert zudem einen konkreten Zustellweg, über den eine Kampagne den Posteingang erreichte: Die Empfängerorganisation unterhielt weiterhin eine aktive Weiterleitungsbeziehung von einem Namensraum aus der Zeit vor einer Übernahme zu einem aktuellen Postfach. Dadurch konnte der Angreifer eine weiterhin auflösbare historische Identität für den Mailversand nutzen. Aus Sicht des Secure Email Gateway wirkte die Nachricht wie normale weitergeleitete Korrespondenz; für den Nutzer landete sie ohne sichtbaren Hinweis auf den indirekten Zustellweg im Arbeits-Posteingang.
