Een nieuw ontdekt phishing-as-a-service (PhaaS) platform, genaamd VoidProxy, richt zich op Microsoft 365 en Google-accounts, zelfs als deze beveiligd zijn door derde partijen zoals Okta.

Dit platform maakt gebruik van ingewikkelde tussenaanvalstactieken om in real-time inloggegevens, multi-factor authenticatiecodes en sessiecookies te stelen.

Onderzoekers van Okta Threat Intelligence hebben VoidProxy ontdekt en omschrijven het als schaalbaar, ongrijpbaar en geavanceerd.

De aanval begint met e-mails van gecompromitteerde accounts, bijvoorbeeld via diensten als Constant Contact, Active Campaign en NotifyVisitors. Deze e-mails bevatten verkorte links die, na meerdere omleidingen, naar phishingwebsites leiden.

Deze kwaadaardige websites draaien op tijdelijke, goedkope domeinen zoals .icu, .sbs en .cfd, en worden beschermd door Cloudflare om hun echte IP-adressen te verbergen.

Bezoekers krijgen eerst een Cloudflare CAPTCHA voorgelegd om bots uit te filteren en de schijn van legitimiteit te vergroten. Een Cloudflare Worker-omgeving wordt gebruikt om het verkeer te filteren en de pagina’s te laden.

Doelwitten die geselecteerd worden, zien een nagemaakte Microsoft- of Google-inlogpagina. Anderen worden naar een algemene welkomstpagina geleid die geen gevaar vormt.

Ingevoerde inloggegevens in het phishingformulier worden via VoidProxy’s tussenaanvalstactiek naar de servers van Google of Microsoft gestuurd.

Accounts met federatieve inlogsystemen, zoals Okta SSO, worden doorgestuurd naar een tweede phishingpagina die de inlogprocessen van Microsoft 365 of Google nadoet met Okta. Deze aanvragen worden omgeleid via Okta-servers.

De proxyserver van de dienst stuurt het verkeer tussen het slachtoffer en de echte service, terwijl het gebruikersnamen, wachtwoorden en MFA-codes onderschept.

Wanneer de echte service een sessiecookie verstrekt, vangt VoidProxy deze op en stelt een kopie beschikbaar in het beheerpaneel van het platform.

Gebruikers die gebruikmaken van phishingbestendige authenticaties zoals Okta FastPass, blijven beschermd tegen VoidProxy’s aanvallen en ontvangen waarschuwingen over mogelijke aanvallen op hun account.

De onderzoekers bevelen aan de toegang tot gevoelige apps te beperken tot beheerde apparaten, risicogebaseerde toegangscontroles te handhaven en IP-sessiebinding voor administratieve apps te gebruiken. Daarnaast raden ze aan om opnieuw in te loggen voor beheerders die gevoelige acties willen uitvoeren.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.