Une nouvelle plateforme de phishing-as-a-service (PhaaS), baptisée VoidProxy, cible les comptes Microsoft 365 et Google, y compris ceux sécurisés par des fournisseurs d’authentification unique (SSO) tiers comme Okta.
Cette plateforme utilise des techniques d’« adversaire au milieu » (AitM) pour dérober en temps réel des identifiants, des codes d’authentification à deux facteurs (MFA) et des cookies de session.
Découverte par des chercheurs en intelligence des menaces d’Okta, VoidProxy est décrite comme évolutive, évasive et sophistiquée.
L’attaque débute par l’envoi d’emails provenant de comptes compromis sur des services de messagerie, tels que Constant Contact, Active Campaign et NotifyVisitors, incluant des liens raccourcis qui redirigent les destinataires vers des sites de phishing après plusieurs redirections.
Les sites malveillants sont hébergés sur des domaines jetables à faible coût, tels que .icu, .sbs, .cfd, .xyz, .top et .home, protégés par Cloudflare pour masquer leurs véritables adresses IP.
Lorsqu’un visiteur accède à l’un de ces sites, un défi CAPTCHA de Cloudflare lui est d’abord proposé afin de filtrer les bots et d’augmenter la légitimité apparente, tandis qu’un environnement Cloudflare Worker est utilisé pour filtrer le trafic et charger les pages.
Source: Okta
Les cibles sélectionnées reçoivent une page imitant une connexion Microsoft ou Google, tandis que les autres sont redirigées vers une page générique sans menace apparente.
Si des identifiants sont renseignés dans le formulaire de phishing, les requêtes sont transmises via VoidProxy à des serveurs Google ou Microsoft.
Source: Okta
Les comptes fédérés, comme ceux utilisant Okta pour le SSO, sont redirigés vers une seconde page de phishing imitant les flux SSO de Microsoft 365 ou Google. Les requêtes sont alors proxyées vers les serveurs d’Okta.
Le serveur proxy du service relaie le trafic entre la victime et le service légitime tout en capturant les noms d’utilisateur, mots de passe et codes MFA en transit.
Lorsque le service légitime émet un cookie de session, VoidProxy l’intercepte et en crée une copie, accessible immédiatement aux attaquants via le panneau d’administration de la plateforme.
Source: Okta
Okta a souligné que les utilisateurs ayant opté pour des authentifications résistantes au phishing, telles qu’Okta FastPass, étaient protégés contre le flux d’attaques de VoidProxy et recevaient des avertissements concernant une potentielle menace sur leur compte.
Les recommandations des chercheurs incluent la restriction d’accès aux applications sensibles uniquement pour les appareils gérés, l’application de contrôles d’accès basés sur les risques, l’utilisation de l’association d’adresse IP pour les applications administratives, et l’imposition d’une nouvelle authentification pour les administrateurs effectuant des actions sensibles.
46 % des environnements ont subi des piratages de mots de passe, un chiffre presque doublé par rapport à l’année précédente qui était de 25 %.
Points à retenir
- VoidProxy représente une menace significative pour les utilisateurs de Microsoft 365 et Google, exploitant des techniques de phishing avancées.
- Les redirections via des emails provenant de services de messagerie compromis augmentent le risque d’infection.
- La protection par des utilisateurs d’authentifications avancées comme Okta FastPass réduit considérablement les risques d’attaques.
- Les recommandations incluent des mesures proactives pour sécuriser l’accès aux applications sensibles.
Le phénomène du phishing ne cesse d’évoluer, mettant en lumière la nécessité pour les entreprises de renforcer leurs protocoles de sécurité. Alors que de nouvelles méthodes comme VoidProxy émergent, il est crucial de s’interroger sur l’efficacité des solutions en place et d’envisager des approches innovantes pour contrer ces menaces grandissantes.