VoidProxy 網絡釣魚服務針對 Microsoft、Google 帳戶

Okta 威脅情報的安全研究人員發現了一種新的網絡犯罪服務，該服務使攻擊者能夠繞過當今使用的一些最強大的安全防禦措施。

研究人員發現了 VoidProxy，這是一種新的網絡釣魚即服務 (PhaaS) 平台，可幫助攻擊者從 Microsoft 和 Google 帳戶竊取登錄憑據，甚至是那些受常見多重身份驗證 (MFA) 保護的帳戶。

研究人員表示：“VoidProxy 代表了對傳統電子郵件安全和身份驗證控制的成熟、可擴展和規避的威脅。”寫在一份詳細的報告中根據他們的發現。

VoidProxy 的工作原理

與傳統的網絡釣魚工具包不同，VoidProxy 使用一種稱為中間對手 (AitM) 的技術，攻擊者可以實時秘密攔截身份驗證流。這使他們能夠實時攔截登錄會話，捕獲用戶名、密碼、MFA 代碼，甚至是保持用戶登錄狀態的會話。

通過這些被盜的會話 cookie，犯罪分子可以繞過幾種常見的 MFA 方法，例如來自身份驗證器應用程序的短信代碼和一次性密碼 (OTP)，獲得對受害者帳戶的完全訪問權限。

秘密交付策略

Okta 研究人員在註意到其防網絡釣魚 FastPass 身份驗證器阻止了異常活動後發現了 VoidProxy。經過仔細檢查，他們發現了一個龐大的基礎設施，到目前為止，該基礎設施一直通過多種反分析技巧逃避檢測。其中包括使用受感染的電子郵件帳戶發送誘餌、部署無休止的重定向來迷惑掃描儀、隱藏在 Cloudflare 服務後面，以及利用 .icu、.xyz 和 .top 等一次性低成本域名。

網絡釣魚活動通常從合法電子郵件服務提供商的被劫持帳戶發送的電子郵件開始。點擊嵌入鏈接的受害者會通過一系列重定向和驗證碼挑戰，然後到達看起來與真實頁面幾乎相同的虛假 Microsoft 或 Google 登錄頁面。

定位單點登錄 (SSO) 用戶

對於使用 Okta 等單點登錄 (SSO) 服務的組織來說，VoidProxy 更進一步。它生成令人信服的第二階段登錄頁面，複製 SSO 流程，誘騙員工洩露更敏感的數據。

一旦輸入憑據，VoidProxy 的代理服務器就會在受害者和合法服務之間中繼流量，悄悄地竊取登錄詳細信息和 cookie。這些被盜的詳細信息會立即流入 VoidProxy 的管理面板，攻擊者可以在其中監控活動、下載被盜數據，甚至通過 Telegram 接收警報。

為什麼它很危險

通過提供易於使用的儀表板和現成的基礎設施，VoidProxy 降低了網絡犯罪的門檻。各種技能水平的網絡犯罪分子都可以發起復雜的網絡釣魚活動，從而導致商業電子郵件洩露 (BEC)、財務欺詐、數據洩露和受害者網絡內的橫向移動。

好消息：仍然有效的方法

Okta 的研究強調，儘管 VoidProxy 非常複雜，但它有一個關鍵弱點：防網絡釣魚身份驗證。研究人員證實，受防網絡釣魚身份驗證方法（例如 Okta FastPass 和密鑰）保護的用戶不會被誘騙交出憑據，而是會收到其帳戶受到攻擊的警告。

閱讀更多：再見，“運行 SFC”：微軟取消 Microsoft Answers 品牌，轉而支持 Microsoft Learn Q&A

專家建議

為了防禦 VoidProxy 等威脅，Okta 建議：

• 實施防網絡釣魚身份驗證，例如 Okta FastPass、FIDO2 WebAuthn（密碼和安全密鑰）和智能卡。
• 僅限制對託管設備上敏感應用程序的訪問。
• 使用行為分析和基於風險的訪問控制。
• 培訓員工發現可疑電子郵件和網絡釣魚策略。
• 使用身份威脅防護對可疑的登錄嘗試或基礎設施做出實時反應。

雖然 VoidProxy 展示了網絡釣魚策略的發展程度，但實施更強大的登錄保護、更智能的策略和警惕的員工可以顯著減少組織面臨現代網絡釣魚威脅的風險。