Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

VoidProxy похищает Microsoft 365 и Google

1
2 мин
Изображение: recraft Эксперты сообщили о появлении новой фишинговой платформы, функционирующей по модели «фишинг как услуга». Сервис под названием VoidProxy специально разработан для компрометации учётных записей Microsoft 365 и Google, в т. ч. аккаунты с активированной системой единого входа от сторонних поставщиков, таких как Okta. По информации аналитиков Okta Threat Intelligence, VoidProxy демонстрирует высокую техническую сложность, устойчивость к обнаружению и масштабируемость. В основе его работы лежит приём AitM — «злоумышленник посередине». Такой подход позволяет перехватывать логины, пароли, одноразовые коды многофакторной аутентификации, а также сеансовые cookie-файлы в процессе реального взаимодействия с настоящими сервисами. Атака начинается с рассылки писем с взломанных учётных записей популярных почтовых платформ, в т. ч. Constant Contact, Active Campaign и NotifyVisitors. Письма содержат сокращённые гиперссылки, которые, после нескольких стадий перенаправления, приводят

Изображение: recraft

Эксперты сообщили о появлении новой фишинговой платформы, функционирующей по модели «фишинг как услуга». Сервис под названием VoidProxy специально разработан для компрометации учётных записей Microsoft 365 и Google, в т. ч. аккаунты с активированной системой единого входа от сторонних поставщиков, таких как Okta.

По информации аналитиков Okta Threat Intelligence, VoidProxy демонстрирует высокую техническую сложность, устойчивость к обнаружению и масштабируемость. В основе его работы лежит приём AitM — «злоумышленник посередине». Такой подход позволяет перехватывать логины, пароли, одноразовые коды многофакторной аутентификации, а также сеансовые cookie-файлы в процессе реального взаимодействия с настоящими сервисами.

Атака начинается с рассылки писем с взломанных учётных записей популярных почтовых платформ, в т. ч. Constant Contact, Active Campaign и NotifyVisitors. Письма содержат сокращённые гиперссылки, которые, после нескольких стадий перенаправления, приводят пользователей на вредоносные сайты.

Целевые ресурсы размещаются на дешёвых временных доменах с зонами .icu, .xyz, .sbs, .cfd, .top и .home. Для сокрытия исходного размещения злоумышленники используют защиту Cloudflare и инструменты Cloudflare Worker, которые фильтруют трафик и добавляют CAPTCHA, повышая тем самым доверие к странице и предотвращая автоматические проверки.

Когда потенциальная жертва открывает фальшивую страницу входа, система определяет, является ли она целевым объектом атаки. В таком случае загружается точная копия интерфейса Microsoft или Google. Остальные пользователи получают безвредную заглушку в виде страницы «Приветствия».

При вводе учётных данных они моментально передаются через прокси-механизм на реальные серверы, что позволяет в реальном времени перехватывать сессионные ключи, логины, пароли и MFA-коды. При использовании федеративных учётных записей, привязанных к Okta, платформа разворачивает вторую ступень фишинга, воспроизводящую поток входа с помощью Microsoft 365 или Google через Okta. В этом случае все запросы, в т. ч. вторичную аутентификацию, ретранслируются на оригинальные серверы Okta, а злоумышленники получают доступ ко всем переданным данным.

После успешной аутентификации на стороне пользователя сервис захватывает cookie-файлы сеанса и дублирует их. Полученные данные тут же становятся доступны преступникам через административную панель VoidProxy.

Оригинал публикации на сайте CISOCLUB: "Обнаружена фишинговая платформа VoidProxy, нацеленная на аккаунты Google и Microsoft 365 с обходом SSO и MFA".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.