Forg365: plataforma de phishing-as-a-service usa IA para atacar contas Microsoft 365

Uma nova plataforma de phishing-as-a-service (PhaaS) denominada Forg365 foi identificada por investigadores de segurança como uma ameaça direcionada especificamente a contas Microsoft 365. A operação combina técnicas de adversary-in-the-middle (AiTM) e de device code phishing com geração de iscas assistida por inteligência artificial. A descoberta, publicada pela empresa de segurança de email ZeroBEC, revela um ecossistema de ataque sofisticado, com painel de controlo integrado, extensão de browser dedicada e capacidades de monitorização pós-comprometimento — um sinal claro da maturidade crescente das plataformas de crime-as-a-service.

O que é o Forg365 e como foi descoberto

Os investigadores da ZeroBEC referem que muitas das funcionalidades presentes no Forg365 existem também noutras plataformas PhaaS conhecidas, como a Kali365 e a Sneaky2FA, embora não tenham conseguido estabelecer uma ligação direta. A investigação teve início com a análise de emails de phishing que se apresentavam como documentos empresariais, cuidadosamente construídos para imitar um serviço de confiança. O domínio do remetente utilizava entrega via Amazon SES, enquanto o corpo da mensagem incluía recursos de imagem ou rastreamento alojados no SendGrid — uma combinação de serviços legítimos e infraestrutura de phishing que indicia uma operação PhaaS madura, capaz de fazer as suas mensagens passarem por tráfego de email regular.

Ao aprofundar a investigação, os investigadores obtiveram acesso ao painel de controlo do Forg365, que permite criar novas campanhas de phishing, gerir ligações maliciosas, configurar aplicações OAuth e perfis SMTP, gerir tokens e gerar emails de phishing com o auxílio de inteligência artificial. A plataforma utiliza o Amazon SES para a entrega de emails de phishing, o Cloudflare Pages para as páginas de destino, e a infraestrutura Gophish para a gestão de campanhas.

Dois métodos de ataque: AiTM e device code phishing

De acordo com a ZeroBEC, o Forg365 suporta dois percursos de ataque principais: o device code phishing, que tem vindo a ganhar popularidade, e o phishing AiTM, mais tradicional.

No que diz respeito ao device code phishing, as vítimas são confrontadas com uma página de verificação com aspeto semelhante ao da Microsoft e induzidas a autorizar um dispositivo controlado pelo atacante através do fluxo legítimo de código de dispositivo OAuth 2.0, um método concebido para dispositivos sem browser completo. Em vez de visar diretamente a palavra-passe da vítima, o ataque leva-a a autorizar um dispositivo controlado pelo atacante através do método legítimo de autenticação OAuth 2.0 de código de dispositivo. Esta técnica é particularmente insidiosa porque explora um fluxo de autenticação genuíno da Microsoft, tornando a deteção mais difícil para filtros de segurança convencionais.

No caso do phishing AiTM, a plataforma utiliza um proxy para os pedidos de autenticação e os dados trocados entre a infraestrutura Microsoft e a conta alvo, capturando cookies de sessão no processo. Mesmo com autenticação multifator (MFA) ativa, os ataques de phishing AiTM podem sequestrar sessões de utilizador e roubar credenciais ao intercetar tokens de autenticação. Esta realidade técnica é frequentemente subestimada: o MFA, por si só, não é suficiente quando o atacante consegue posicionar-se como intermediário em tempo real.

IA integrada no painel e acesso persistente via ForgCookie

Embora o uso de IA na criação de iscas de phishing personalizadas não seja novo, os investigadores sublinham que a funcionalidade está diretamente integrada no painel do Forg365, permitindo ao operador criar os emails maliciosos, preparar o texto e refinar as mensagens a partir do mesmo painel utilizado para controlar a atividade pós-comprometimento. De acordo com os investigadores, esta integração é estratégica, uma vez que “a IA reduz o custo de desenvolver conteúdo de phishing personalizado, mas também reduz o custo de construir plataformas PhaaS personalizadas.”

O painel inclui ainda um dashboard de inteligência de contas e uma funcionalidade de monitorização por palavras-chave que analisa as caixas de correio comprometidas à procura de termos predefinidos, alertando os operadores sempre que é detetada uma correspondência. Esta capacidade de vigilância pós-comprometimento eleva significativamente o potencial de dano: os atacantes não se limitam a roubar credenciais, mas mantêm acesso continuado para recolher informação sensível ao longo do tempo.

Para garantir acesso persistente às contas comprometidas, os operadores dispõem de uma extensão de browser denominada ForgCookie, compatível com o Google Chrome, o Microsoft Edge e o Brave, especificamente concebida para atualizar automaticamente os cookies de SSO da Microsoft. A extensão funciona pedindo dados de conta ao backend do Forg365, limpando os cookies de sessão existentes e desencadeando um fluxo OAuth silencioso para capturar novos cookies — proporcionando ao atacante acesso persistente aos serviços Microsoft associados à conta da vítima.

Mecanismos anti-deteção e infraestrutura

Para impedir que investigadores acedam ao painel de administração, o Forg365 inclui uma funcionalidade AntiBot que incorpora redirecionadores com encriptação AES, deteção de bots, armadilhas para debuggers, verificações de sandbox e código polimórfico. Adicionalmente, quando é detetada uma ligação VPN, a plataforma redireciona para conteúdo inócuo em vez de expor as páginas de phishing. Estas medidas de contra-investigação demonstram que os criadores da plataforma antecipam o escrutínio de analistas de segurança e tomam medidas deliberadas para dificultar a análise forense.

Porque é que isto importa

O surgimento do Forg365 insere-se num contexto de crescente sofisticação das ameaças dirigidas a contas empresariais na nuvem — uma tendência com impacto direto em Portugal. O email fraudulento é o principal vetor de entrada em ataques a empresas, responsável por mais incidentes do que vulnerabilidades técnicas ou ataques de força bruta, segundo o CNCS. O phishing e o smishing mantêm-se entre as ameaças mais recorrentes, e 90% das entidades inquiridas pelo CNCS consideraram ter um risco acrescido de sofrer um incidente em 2025.

Para as PME portuguesas que utilizam o Microsoft 365 — e são a grande maioria das organizações nacionais — a ameaça é concreta. A maior porta de entrada de incidentes em PME com Microsoft 365 é a combinação utilizador mais palavra-passe sem segundo fator. O Forg365, ao combinar AiTM com device code phishing, vai mais longe: consegue contornar implementações de MFA mal configuradas, tornando insuficiente a proteção baseada apenas em palavras-passe e segundo fator convencional.

Do ponto de vista regulatório, o enquadramento legal português reforça a urgência de resposta. O Decreto-Lei n.º 125/2025, publicado no Diário da República a 4 de dezembro de 2025, estabelece o regime jurídico nacional da cibersegurança, designando o Centro Nacional de Cibersegurança (CNCS) como autoridade competente para supervisionar a sua implementação. A Diretiva NIS2 foi transposta para a legislação portuguesa através do Decreto-Lei n.º 125/2025, estando em vigor desde 3 de abril de 2026, com multas que podem atingir os 10 milhões de euros para entidades em incumprimento. Para as entidades abrangidas pelo DL 125/2025, a lei exige periodicidade definida, documentação e cobertura de temas específicos, incluindo o reconhecimento de phishing e os procedimentos de resposta — e em caso de ataque com origem em phishing, a empresa tem de demonstrar que implementou medidas de prevenção adequadas, pois sem essa evidência a coima recai sobre a ausência de prevenção e não sobre o ataque em si.

No plano técnico, os utilizadores são aconselhados a restringir ou desativar a autenticação por código de dispositivo da Microsoft quando não seja estritamente necessária, e a monitorizar os registos do Microsoft Entra para detetar eventos de autenticação por código de dispositivo. As equipas de segurança devem também estabelecer processos claros para verificar chamadas de suporte de TI que solicitem alterações de autenticação, sendo que a combinação de phishing gerado por IA e engenharia social por voz significa que nenhuma defesa singular é suficiente — as organizações precisam de controlos técnicos e de formação de utilizadores.

Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela ZeroBEC, BleepingComputer, Centro Nacional de Cibersegurança (CNCS) e no Decreto-Lei n.º 125/2025 publicado no Diário da República.