VoidProxy: Új PhaaS platform fenyegeti a Microsoft és Google fiókokat


szeptember 16. 12:31

Az Okta Threat Intelligence kiberbiztonsági kutatói azonosították a VoidProxy elnevezésű, kifinomult phishing-as-a-service (PhaaS) platformot, amely elsősorban Microsoft 365- és Google-fiókokat vesz célba, beleértve azokat is, melyeket Single Sign-On (SSO) szolgáltatók, például az Okta védenek.

A VoidProxy az úgynevezett adversary-in-the-middle (AiTM) taktikát alkalmazza, amely lehetővé teszi a belépési adatok, a többtényezős hitelesítési (MFA) kódok és a munkamenet-cookie-k valós idejű megszerzését.

A támadás kompromittált e-mail fiókokból (Constant Contact, Active Campaign, NotifyVisitors) érkező üzenetekkel indul. Ezek az üzenetek rövidített linkeket tartalmaznak, amelyek többszöri átirányítás után adathalász weboldalakra vezetik a címzetteket. A rosszindulatú oldalak általában olcsó, eldobható domainek ([.]icu, [.]sbs, [.]cfd, [.]xyz, [.]top, [.]home) alatt működnek.

A támadók a valódi IP-címek elrejtésére Cloudflare szolgáltatásokat használnak. Először egy Cloudflare CAPTCHA jelenik meg (1. ábra), amely egyszerre szűri a botokat és növeli a legitimitás érzetét. Emellett Cloudflare Worker-környezetet alkalmaznak a forgalom szűrésére és a rosszindulatú oldalak betöltésére.

 

1. ábra A Cloudflare CAPTCHA a rosszindulatú weboldalon Forrás: Okta

 

Az áldozatok hamis Microsoft- vagy Google-bejelentkezési oldalra kerülnek (2. ábra), míg a többi látogató egy ártalmatlan „Üdvözlő” oldalt lát.

 

2. ábra A VoidProxy által kiszolgált adathalász oldalak Forrás: Okta

 

Az SSO-t használó összevont fiókok esetében a felhasználók egy második szintű adathalász oldalra kerülnek, amely a Microsoft 365 vagy a Google SSO folyamatokat imitálja az Okta bevonásával. Az így keletkező kérések az Okta szervereire kerülnek továbbításra, miközben a támadók minden adatot rögzítenek. A VoidProxy proxykiszolgálója közvetíti a forgalmat a legitim szolgáltatás és az áldozat között, miközben eltárolja a felhasználóneveket, jelszavakat és MFA-kódokat. Amikor a legitim szolgáltatás munkamenet-cookie-t bocsát ki, a VoidProxy azt elfogja és érvényes másolatot készít róla, amely a támadók admin felületén azonnal elérhetővé válik (3. ábra).

 

3. ábra A VoidProxy admin felülete Forrás: Okta

 

A kutatók az alábbi intézkedéseket javasolják:

  • a bizalmas alkalmazásokhoz való hozzáférés korlátozása kizárólag a felügyelt eszközökre,
  • kockázatalapú hozzáférés-vezérlés kialakítása,
  • IP session binding bevezetése a felügyeleti alkalmazásokhoz, valamint
  • újbóli hitelesítés előírása minden olyan rendszergazdai műveletnél, amely bizalmas erőforrásokat érint.

(bleepingcomputer.com)

 

Címkék

AiTM Captcha Cloudflare Google MFA Microsoft 365 Okta PhaaS Phishing-as-a-Service SSO Single Sign-On VoidProxy adversary-in-the-middle többtényezős hitelesítés adathalászat e-mail biztonság kétfaktoros azonosítás

Kapcsolódó tartalmak: