แพลตฟอร์ม Phishing-as-a-Service (PhaaS) ตัวใหม่ที่ชื่อ “VoidProxy” กำลังมุ่งเป้าการโจมตีไปที่ผู้ใช้บัญชี Microsoft 365 และ Google รวมถึงบัญชีที่ได้รับการป้องกันแบบ Single Sign-On (SSO) จากผู้ให้บริการภายนอกอย่าง Okta
แพลตฟอร์มดังกล่าวใช้วิธีการโจมตีแบบ Adversary-in-the-Middle (AitM) เพื่อขโมยข้อมูล Credentials, Multi-factor authentication (MFA) และ Session Cookies ของเหยื่อ โดยสามารถขโมยได้แบบ real time
VoidProxy ถูกพบโดยนักวิจัยจาก Okta Threat Intelligence ซึ่งระบุว่า แพลตฟอร์มดังกล่าวมีความสามารถในการ Scalable, หลบเลี่ยงการตรวจจับได้ดี และมีความซับซ้อนสูง
การโจมตีจะเริ่มต้นจากอีเมลที่ส่งมาจากบัญชีที่ถูกแฮ็กบนแพลตฟอร์มของผู้ให้บริการส่งอีเมล เช่น Constant Contact, Active Campaign และ NotifyVisitors โดยอีเมลเหล่านี้จะมี Shortened Links ที่จะส่งผู้รับไปยังเว็บไซต์ phishing หลังจากถูกเปลี่ยนเส้นทางหลายครั้ง
เว็บไซต์อันตรายเหล่านี้จะ Host จะอยู่บนโดเมนราคาถูก เช่น .icu, .sbs, .cfd, .xyz, .top และ .home โดยใช้ Cloudflare เพื่อซ่อน IP Address ที่แท้จริงของเซิร์ฟเวอร์ไว้
เมื่อผู้ใช้เข้าสู่เว็บไซต์ จะพบกับ CAPTCHA ของ Cloudflare เพื่อกรองบอทออกไป และช่วยเพิ่มความน่าเชื่อถือ ในขณะเดียวกัน ก็ใช้สภาพแวดล้อมของ Cloudflare Workers เพื่อ filter traffic และโหลดหน้าเว็บต่าง ๆ ที่ใช้ในการโจมตี
โดยเป้าหมายที่ถูกเลือกจะเจอหน้าเว็บที่เลียนแบบหน้าการล็อกอินของ Microsoft หรือ Google ส่วนผู้ใช้งานรายอื่น ๆ จะถูกส่งไปยังหน้าเว็บทั่วไปที่ขึ้นข้อความว่า “Welcome” ซึ่งไม่มีอันตรายใด ๆ
หากมีการกรอกข้อมูล Credentials ลงใน Phishing form, Requests จะถูกส่งผ่าน Proxy ด้วยเทคนิคการโจมตีแบบ AitM ของ VoidProxy ไปยังเซิร์ฟเวอร์ของ Google หรือ Microsoft โดยตรง
สำหรับบัญชีแบบ Federated ที่ใช้ Okta ในการ SSO จะถูกเปลี่ยนเส้นทางไปยังหน้าถัดไปของเว็บ Phishing ซึ่งจะทำเลียนแบบเป็นหน้าขั้นตอน SSO ของ Microsoft 365 หรือ Google ที่ทำงานร่วมกับ Okta โดย Requests เหล่านี้จะถูกส่งผ่าน Proxy ไปยังเซิร์ฟเวอร์ของ Okta
Proxy Server ของบริการนี้จะทำหน้าที่รับ-ส่ง traffic ระหว่างเหยื่อกับ Microsoft หรือ Google ขณะเดียวกันก็จะดักจับข้อมูลชื่อผู้ใช้, รหัสผ่าน, และรหัส MFA ในระหว่างการส่งข้อมูล
เมื่อ Microsoft หรือ Google ออก Session Cookie เพื่อยืนยันการเข้าระบบ, VoidProxy จะดักจับคุกกี้นั้นไว้ และสร้าง Copy ขึ้นมา จากนั้นจะถูกส่งไปให้ผู้โจมตี ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงผ่าน Admin Panel ของแพลตฟอร์มได้
Okta ระบุว่า ผู้ใช้งานที่ลงทะเบียนใช้การยืนยันตัวตนแบบ Phishing-resistant เช่น Okta FastPass จะได้รับการป้องกันจากขั้นตอนการโจมตีของ VoidProxy และจะได้รับการแจ้งเตือนว่าบัญชีของพวกเขากำลังถูกโจมตี
นักวิจัยได้ให้คำแนะนำเพื่อป้องกันการโจมตีในลักษณะนี้ ได้แก่ :
จำกัดการเข้าถึงแอปพลิเคชันที่สำคัญให้ใช้ได้เฉพาะ Managed Devices เท่านั้น
บังคับใช้นโยบาย Risk-based Access Controls
ใช้ IP Session Binding สำหรับ administrative apps
บังคับให้มีการ Re-authentication เมื่อผู้ดูแลระบบพยายามดำเนินการในส่วนที่มีความสำคัญ
ที่มา : bleepingcomputer