Forg365: phishing com IA ameaça Microsoft 365

Escrito por
Jardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...

Forg365 usa IA para criar ataques de phishing avançados contra contas Microsoft 365.

A plataforma Forg365 representa uma nova geração de ameaças cibernéticas impulsionadas pela Inteligência Artificial. Descoberta pela empresa de segurança ZeroBEC, a ferramenta segue o modelo Phishing como Serviço (PhaaS) e permite que criminosos criem campanhas altamente personalizadas contra usuários do Microsoft 365 com um nível de automação e sofisticação preocupante.

O crescimento acelerado das ferramentas de IA trouxe ganhos significativos para empresas, desenvolvedores e usuários comuns, mas também abriu novas possibilidades para grupos criminosos. A tecnologia passou a ser usada para produzir mensagens convincentes, adaptar golpes ao perfil das vítimas e automatizar ataques em larga escala.

Neste cenário, a plataforma de phishing Forg365 chama atenção por combinar recursos de Inteligência Artificial, roubo de sessões autenticadas e técnicas avançadas de evasão. A ameaça vai além do tradicional e-mail falso, pois busca contornar mecanismos modernos de autenticação e comprometer diretamente identidades digitais corporativas.

Como funciona a plataforma Forg365 e o uso de IA

A Forg365 funciona como uma plataforma PhaaS, um modelo criminoso no qual operadores disponibilizam uma infraestrutura completa de ataque para outros criminosos sem exigir conhecimento técnico avançado. Assim como serviços legítimos de tecnologia oferecem ferramentas prontas, essas plataformas vendem recursos para criação e gerenciamento de campanhas maliciosas.

Segundo a análise da ZeroBEC, a ferramenta possui um painel administrativo que facilita a criação de páginas falsas de login e mensagens de engenharia social direcionadas a usuários do Microsoft 365. A integração com Inteligência Artificial permite gerar e-mails fraudulentos mais convincentes, adaptando linguagem, contexto e aparência conforme o alvo.

Em vez de mensagens genéricas com erros evidentes, os criminosos conseguem criar convites falsos para reuniões, alertas de segurança, notificações administrativas e solicitações de atualização de credenciais com aparência próxima à comunicação real de uma organização.

O uso de IA reduz o tempo necessário para montar campanhas sofisticadas e aumenta a capacidade dos atacantes de explorar ambientes corporativos, especialmente onde funcionários possuem acesso a dados sensíveis ou recursos administrativos.

Microsoft 365

O perigo do ataque por código de dispositivo

Um dos recursos mais preocupantes associados à plataforma Forg365 é o abuso do fluxo de autenticação por código de dispositivo, baseado no protocolo OAuth 2.0.

Esse método foi criado pela Microsoft para facilitar o login em dispositivos que possuem limitações de interface, como televisores e alguns equipamentos corporativos. O usuário recebe um código e precisa inseri-lo em uma página legítima para autorizar o acesso.

O problema surge quando os criminosos induzem a vítima a realizar esse processo acreditando estar concluindo uma ação legítima. O atacante inicia uma solicitação de autenticação e envia o código para a vítima por meio de uma mensagem falsa.

Ao inserir o código e aprovar a solicitação, o usuário pode conceder autorização para um aplicativo controlado pelo invasor. Dessa forma, o criminoso obtém acesso aos recursos permitidos sem necessariamente precisar capturar a senha da vítima.

Esse tipo de ataque é especialmente perigoso porque pode escapar de algumas proteções tradicionais baseadas apenas em credenciais. Mesmo usuários com autenticação multifator ativada podem ser comprometidos quando autorizam manualmente uma solicitação maliciosa.

Ataques adversário no meio e persistência

Além do abuso do OAuth 2.0, a ferramenta maliciosa Forg365 utiliza técnicas conhecidas como Adversary-in-the-Middle (AiTM), ou adversário no meio.

Nesse modelo, o atacante cria uma ponte entre o usuário e o serviço legítimo. A vítima acredita estar acessando o ambiente real do Microsoft 365, enquanto suas informações de autenticação passam por uma infraestrutura controlada pelo criminoso.

Um dos principais objetivos é capturar cookies de sessão, permitindo que o invasor reutilize uma sessão já autenticada sem precisar solicitar novamente usuário, senha ou código de autenticação.

A ZeroBEC identificou mecanismos relacionados à extensão maliciosa ForgCookie, criada para manter o acesso após o comprometimento inicial. Com esse recurso, os criminosos conseguem prolongar a invasão e reduzir a necessidade de novos ataques contra o mesmo usuário.

Essa técnica representa um desafio importante para equipes de segurança, pois o comprometimento não depende apenas do roubo de senha. O invasor pode permanecer ativo utilizando tokens e sessões válidas obtidas durante o ataque.

A infraestrutura por trás do crime digital

Outro aspecto relevante da plataforma Forg365 é o uso de serviços legítimos de nuvem para esconder sua operação.

Os criminosos aproveitam plataformas conhecidas como Amazon SES, SendGrid e Cloudflare Pages para distribuir mensagens, hospedar páginas falsas e dificultar a identificação da origem dos ataques.

Essa estratégia permite que campanhas maliciosas utilizem domínios e infraestrutura com boa reputação, aumentando a chance de passar por filtros tradicionais de spam e sistemas automáticos de detecção.

Além disso, a plataforma incorpora recursos de proteção contra análise, incluindo mecanismos anti-bot e técnicas para dificultar investigações automatizadas. Essas funcionalidades ajudam criminosos a impedir que pesquisadores de segurança acessem facilmente os painéis ou identifiquem suas campanhas.

O uso combinado de serviços legítimos, automação e Inteligência Artificial mostra como o cenário de ameaças está evoluindo para um modelo mais profissionalizado.

Como se proteger: recomendações dos especialistas

Diante do avanço de ferramentas como a plataforma Forg365, empresas precisam fortalecer controles de identidade e monitoramento contínuo. Algumas medidas recomendadas por especialistas incluem:

Restringir ou desabilitar a autenticação por código de dispositivo quando não houver necessidade. Organizações devem avaliar se esse método representa um risco aceitável dentro de suas políticas internas.

Monitorar atividades no Microsoft Entra ID. A análise de registros de login, aplicativos autorizados e alterações de permissões pode ajudar a identificar comportamentos suspeitos rapidamente.

Revogar tokens e sessões ativas em caso de comprometimento. Quando houver suspeita de invasão, remover acessos concedidos e invalidar sessões pode interromper a persistência dos criminosos.

Aplicar políticas de acesso condicional. Recursos como localização, conformidade do dispositivo e nível de risco do usuário ajudam a reduzir possibilidades de abuso.

Treinar usuários contra engenharia social. Mesmo com ferramentas avançadas de segurança, funcionários continuam sendo um dos principais alvos de campanhas de phishing.

A descoberta da Forg365 reforça que a segurança digital precisa acompanhar a evolução da Inteligência Artificial. O mesmo recurso que aumenta produtividade também pode ser explorado para criar golpes mais convincentes e difíceis de detectar.

Administradores de sistemas, profissionais de segurança e usuários do ecossistema Microsoft 365 devem revisar suas políticas de proteção de identidade e acompanhar novas técnicas utilizadas pelos atacantes.

Compartilhe este artigo
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista em Android, Apple, Cibersegurança e diversos outros temas do universo tecnológico. Seu foco é trazer análises aprofundadas, notícias e guias práticos sobre segurança digital, mobilidade, sistemas operacionais e as últimas inovações que moldam o cenário da tecnologia.