Bezpečnostní experti upozornili na novou platformu typu phishing jako služba (PhaaS) s názvem VoidProxy, která je zaměřena na uživatele účtů Microsoft 365 a Google. Útoky se nevyhýbají ani federovaným účtům využívajícím jednotné přihlášení (SSO) třetích stran, například přes Okta.

VoidProxy využívá taktiku adversary-in-the-middle (AitM), kdy přesměrovává uživatele na podvodné stránky a v reálném čase zachycuje jejich přihlašovací údaje, vícefaktorové kódy i cookies relace. Platformu odhalil tým Okta Threat Intelligence, který ji označuje za sofistikovanou a snadno škálovatelnou.

Útok obvykle začíná phishingovými e-maily rozesílanými z kompromitovaných účtů u poskytovatelů e-mailových služeb, jako jsou Constant Contact, Active Campaign či NotifyVisitors. Odkazy v těchto zprávách vedou po sérii přesměrování na phishingové stránky, hostované na levných doménách typu .icu, .sbs, .cfd, .xyz, .top nebo .home. Ty jsou chráněny službou Cloudflare, která maskuje skutečné IP adresy a zobrazuje CAPTCHA výzvy, aby útok působil důvěryhodněji.

Vybrané oběti jsou následně přesměrovány na stránky napodobující přihlašovací portály Microsoftu nebo Googlu. Pokud zadávají údaje, VoidProxy je předává legitimním serverům, ale zároveň je zachycuje. V případě federovaných účtů jsou napodobovány i přihlašovací toky přes Okta. Jakmile je vydána relace v podobě cookie, platforma ji okamžitě duplikuje a zpřístupňuje útočníkům prostřednictvím administračního panelu.

Okta uvedla, že uživatelé využívající pokročilé metody ověřování odolné vůči phishingu, jako je Okta FastPass, byli před útokem chráněni a obdrželi upozornění na podezřelou aktivitu. Mezi doporučená opatření patří omezení přístupu k citlivým aplikacím pouze na spravovaná zařízení, zavedení řízení přístupu na základě rizik, vázání IP adres pro administrativní relace a povinné znovuověřování při citlivých úkonech.

Zdroj: BleepingComputer