بررسی حملات phishing VoidProxy علیه پلتفرمهای Microsoft 365 و Google
یک پلتفرم phishing-as-a-service (PhaaS) جدید با نام VoidProxy شناسایی شده که حسابهای Microsoft 365 و Google را هدف قرار میدهد؛ حتی حسابهایی که با سرویسهای single sign-on (SSO) شخص ثالث مانند Okta محافظت میشوند.
این پلتفرم با استفاده از تاکتیکهای adversary-in-the-middle (AiTM) قادر است در زمان واقعی credentials، کدهای multi-factor authentication (MFA) و session cookies را سرقت کند.
VoidProxy توسط پژوهشگران Okta Threat Intelligence شناسایی شده و از سوی آنان بهعنوان سرویسی scalable، evasive و sophisticated توصیف شده است.
حملات با ارسال email از حسابهای compromised در سرویسدهندههای ایمیل مانند Constant Contact، Active Campaign و NotifyVisitors آغاز میشود. این ایمیلها شامل لینکهای کوتاهشدهای هستند که پس از چندین redirection، قربانی را به سایتهای phishing هدایت میکنند.
سایتهای مخرب روی low-cost disposable domains با پسوندهایی مانند .icu, .sbs, .cfd, .xyz, .top, .home میزبانی شدهاند که با استفاده از Cloudflare از آشکار شدن real IP محافظت میشوند.
بازدیدکنندگان ابتدا با یک Cloudflare CAPTCHA challenge مواجه میشوند تا bots فیلتر شده و حس مشروعیت افزایش یابد. در ادامه، یک محیط Cloudflare Worker برای فیلتر ترافیک و بارگذاری صفحات مورد استفاده قرار میگیرد.
هدفهای منتخب صفحهای مشابه صفحه ورود Microsoft یا Google را مشاهده میکنند، در حالی که سایرین به یک صفحه عمومی «Welcome» هدایت میشوند که هیچ تهدیدی نشان نمیدهد.
اگر credentials در فرم فیشینگ وارد شوند، درخواستها از طریق adversary-in-the-middle (AitM) متعلق به VoidProxy به سرورهای Google یا Microsoft پروکسی میشوند.
حسابهای Federated مانند آنهایی که از Okta برای SSO استفاده میکنند، به یک second-stage phishing page هدایت میشوند که جریانهای SSO مربوط به Microsoft 365 یا Google را با Okta جعل میکند. این درخواستها به سرورهای Okta پروکسی شدند.
سرور پروکسی سرویس، ترافیک بین قربانی و سرویس قانونی را منتقل میکند و در حین انتقال نامهای کاربری، رمز عبور و کدهای MFA را ضبط مینماید.
وقتی سرویس قانونی یک session cookie صادر میکند، VoidProxy آن را رهگیری کرده و یک نسخه از آن ایجاد میکند که مستقیماً در admin panel پلتفرم در اختیار مهاجمان قرار میگیرد.
شرکت Okta اعلام کرد کاربرانی که از مکانیزمهای احراز هویت مقاوم در برابر phishing مانند Okta FastPass استفاده کردهاند، در برابر جریان حمله VoidProxy محافظت شده و هشدارهایی درباره تحت حمله بودن حساب خود دریافت کردهاند.
توصیههای پژوهشگران شامل موارد زیر است:
- محدود کردن دسترسی به sensitive apps تنها از طریق managed devices
- اعمال risk-based access controls
- استفاده از IP session binding برای administrative apps
- اجبار به re-authentication برای admins هنگام انجام اقدامات حساس
