Az Okta Threat Intelligence kiberbiztonsági kutatói azonosították a VoidProxy elnevezésű, kifinomult phishing-as-a-service (PhaaS) platformot, amely elsősorban Microsoft 365- és Google-fiókokat vesz célba, beleértve azokat is, melyeket Single Sign-On (SSO) szolgáltatók, például az Okta védenek.
A VoidProxy az úgynevezett adversary-in-the-middle (AiTM) taktikát alkalmazza, amely lehetővé teszi a belépési adatok, a többtényezős hitelesítési (MFA) kódok és a munkamenet-cookie-k valós idejű megszerzését.
A támadás kompromittált e-mail fiókokból (Constant Contact, Active Campaign, NotifyVisitors) érkező üzenetekkel indul. Ezek az üzenetek rövidített linkeket tartalmaznak, amelyek többszöri átirányítás után adathalász weboldalakra vezetik a címzetteket. A rosszindulatú oldalak általában olcsó, eldobható domainek ([.]icu, [.]sbs, [.]cfd, [.]xyz, [.]top, [.]home) alatt működnek.
A támadók a valódi IP-címek elrejtésére Cloudflare szolgáltatásokat használnak. Először egy Cloudflare CAPTCHA jelenik meg (1. ábra), amely egyszerre szűri a botokat és növeli a legitimitás érzetét. Emellett Cloudflare Worker-környezetet alkalmaznak a forgalom szűrésére és a rosszindulatú oldalak betöltésére.

Az áldozatok hamis Microsoft- vagy Google-bejelentkezési oldalra kerülnek (2. ábra), míg a többi látogató egy ártalmatlan „Üdvözlő” oldalt lát.

Az SSO-t használó összevont fiókok esetében a felhasználók egy második szintű adathalász oldalra kerülnek, amely a Microsoft 365 vagy a Google SSO folyamatokat imitálja az Okta bevonásával. Az így keletkező kérések az Okta szervereire kerülnek továbbításra, miközben a támadók minden adatot rögzítenek. A VoidProxy proxykiszolgálója közvetíti a forgalmat a legitim szolgáltatás és az áldozat között, miközben eltárolja a felhasználóneveket, jelszavakat és MFA-kódokat. Amikor a legitim szolgáltatás munkamenet-cookie-t bocsát ki, a VoidProxy azt elfogja és érvényes másolatot készít róla, amely a támadók admin felületén azonnal elérhetővé válik (3. ábra).

A kutatók az alábbi intézkedéseket javasolják:
- a bizalmas alkalmazásokhoz való hozzáférés korlátozása kizárólag a felügyelt eszközökre,
- kockázatalapú hozzáférés-vezérlés kialakítása,
- IP session binding bevezetése a felügyeleti alkalmazásokhoz, valamint
- újbóli hitelesítés előírása minden olyan rendszergazdai műveletnél, amely bizalmas erőforrásokat érint.