O platformă phishing-as-a-service (PhaaS) inovatoare și extrem de evazivă denumită VoidProxy, permite atacatorilor să fure conturi Microsoft și Google, inclusiv cele protejate prin sisteme single sign-on (SSO) cu furnizori terți precum Okta.
VoidProxy foloseste tehnica adversary-in-the-middle (AitM) pentru a intercepta în timp real fluxurile de autentificare, capturând nu doar credențialele utilizatorilor, ci și codurile MFA și tokenurile de sesiune.
Astfel, atacatorii pot evita metode de autentificare cu mai mulți factori, inclusiv codurile SMS și OTP (one-time password) generate de aplicații, permitandu-le compromiterea email-urilor de business, fraude financiare și mișcări laterale în rețelele victimei.
Strategia atacului începe prin trimiterea unor emailuri de phishing de pe conturi compromise ale unor furnizori legitimi de servicii de email, precum Constant Contact, Active Campaign, si NotifyVisitors.
Experții de la echipa de Threat Intelligence de la Okta spun ca site-urile frauduloase folosesc domenii de nivel superior (TLD – top-level domains) precum .icu, .sbs, .cfd, .xyz, .top, și .home, și IP-urile serverelor sunt protejate prin serviciul de reverse-proxy de la Cloudflare.
Prin folosirea link-urilor scurte și multiple redirecționări se evita detectarea automată. Utilizatorilor li se afișează provocări CAPTCHA Cloudflare pentru a verifica dacă interacțiunea provine de la o persoană reală, iar paginile false de autentificare sunt replici fidele ale portalurilor Microsoft și Google.
După colectarea credențialelor inițiale, utilizatorii enterprise sunt redirecționați către pagini de phishing de nivel secund pentru a captura mai multe informații necesare pentru compromiterea contului.
În etapa finală, un server proxy AitM interceptează datele capturate de la utilizatori și le furnizeaza serviciilor autentice în timp real, furând astfel token-urile de sesiune si oferind atacatorilor acces direct la conturile vizate.
Infrastructura VoidProxy se bazează pe o arhitectură serverless găzduită prin servicii DNS dinamice și include un panou de control avansat, oferit clienților săi pentru gestionarea campaniilor de phishing în timp real și extragerea datelor furate.
Okta precizează că utilizatorii de servicii de autentificare rezistente la phishing precum Okta FastPass sunt protejați de metodele folosite de VoidProxy și primesc notificări când le este atacat contul.
Printre măsurile de apărare, Okta recomandă utilizarea de servicii de autentificare puternice, restricționarea accesului la aplicații sensible doar de pe dispozitive gestionate și monitorizate, și urmărirea tiparelor de acces la aplicații pentru detectarea comportamentelor anormale.
