Onderzoekers van Okta Threat Intelligence hebben een nieuw phishing-as-a-service (PhaaS) platform ontdekt dat zich richt op accounts van Microsoft 365 en Google. Het platform, dat de naam VoidProxy draagt, is volgens de onderzoekers schaalbaar, geraffineerd en bijzonder lastig te detecteren.
Platform
VoidProxy maakt gebruik van de zogeheten adversary-in-the-middle (AitM)-techniek, waarmee niet alleen inloggegevens, maar ook multi-factorauthenticatie (MFA)-codes en sessiecookies in real time kunnen worden buitgemaakt. Zelfs accounts die beveiligd zijn via derde partijen zoals Okta’s single sign-on (SSO) blijken kwetsbaar.
De aanval start doorgaans met een phishingmail, vaak afkomstig van gecompromitteerde accounts bij e-maildienstverleners als Constant Contact, Active Campaign en NotifyVisitors. Deze mails bevatten verkorte links die slachtoffers via meerdere omleidingen naar malafide websites leiden.
Goedkope disposable domeinen
De phishingpagina’s worden gehost op goedkope disposable domeinen met extensies als .icu, .sbs, .cfd, .xyz, .top en .home. Om de echtheid te suggereren, zijn deze domeinen vaak beveiligd met Cloudflare, dat ook de IP-adressen van de aanvallers afschermt. Bezoekers krijgen eerst een CAPTCHA-challenge te zien om bots te filteren, wat de indruk van legitimiteit versterkt.
Generieke welkomstpagina
Specifieke doelwitten belanden vervolgens op nagebootste inlogpagina’s van Microsoft of Google, terwijl andere bezoekers slechts een generieke welkomstpagina krijgen te zien. Zodra een slachtoffer zijn gegevens invult, fungeert VoidProxy als een tussenstation dat het verkeer doorstuurt naar de echte servers van Microsoft of Google, maar ondertussen gebruikersnamen, wachtwoorden en MFA-codes onderschept.
Cookies
Bij federated accounts met Okta-SSO worden slachtoffers doorgeleid naar tweede-fase phishingpagina’s die de Okta-inlogstromen imiteren. Ook hier worden verzoeken via VoidProxy naar de legitieme servers gestuurd, terwijl de aanvallers een kopie van de sessiecookies ontvangen. Deze cookies worden direct zichtbaar gemaakt in het beheerderspaneel van VoidProxy, waarmee criminelen zich moeiteloos toegang verschaffen tot accounts.
Volgens Okta zijn gebruikers die werken met phishing-resistente methodes, zoals Okta FastPass, beschermd gebleven tegen dit type aanval. Zij ontvingen waarschuwingen zodra er een poging werd gedaan hun account te compromitteren.
Gevoelige applicaties
De onderzoekers adviseren organisaties om gevoelige applicaties alleen toegankelijk te maken vanaf beheerde apparaten, risico-gebaseerde toegangscontroles te hanteren, IP-session binding in te schakelen voor beheerders en herauthenticatie te verplichten bij kritieke acties.
Met VoidProxy laat de phishing-industrie zien dat het steeds professioneler wordt georganiseerd – niet langer losse aanvallen, maar complete diensten die cybercriminelen kant-en-klaar kunnen inzetten.