安全公司披露了一个名为 Forg365 的恶意脚本平台,该平台采用订阅制模式,专门用于攻击 Microsoft 365 账户。

研究人员发现,Forg365 主要有两种攻击方式。第一种是“设备验证码攻击”。攻击者使用 Forg365 生成的钓鱼邮件,诱骗受害者访问微软的官方登录页面并输入设备验证码。通过这种方式,攻击者可以在后台窃取 OAuth 访问令牌,进而接管用户的账户。

第二种方式是“中间人攻击”(Adversary-in-the-Middle,AiTM)。Forg365 平台支持攻击者设置代理服务器,以拦截受害者在登录过程中产生的认证信息和会话数据。这种方法可以绕过身份验证机制,并最终盗取账户的访问权限。

为了应对这类新兴的钓鱼攻击,ZeroBEC 建议企业采取措施限制微软账户的认证码功能,并加强对 Entra 登录记录以及 Microsoft Authentication Broker 日志的监控,以便及时发现异常活动。