Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Новата фишинг услуга VoidProxy ги таргетира сметките на Microsoft 365 и Google

Објавено: 15.09.2025

Новопронајдена фишинг-платформа како услуга (Phishing-as-a-Service, PhaaS), наречена VoidProxy, ги таргетира сметките на Microsoft 365 и Google, вклучувајќи ги и оние заштитени со услуги за еднократна најава (SSO) од трети страни, како што е Okta.

Платформата користи adversary-in-the-middle (AitM) тактики за да ги украде акредитивите (кориснички имиња и лозинки), кодовите за повеќефакторска автентикација (MFA), како и сесииските колачиња – и тоа во реално време.

VoidProxy беше откриен од истражувачите на Okta Threat Intelligence, кои го опишуваат како скалабилен, тешко открилив и софистициран.

Како функционира нападот?

Нападот започнува со е-пошта испратена од веќе компромитирани сметки кај провајдери за масовно испраќање е-пошта, како што се Constant Contact, Active Campaign и NotifyVisitors. Овие пораки содржат скратени линкови кои, по неколку пренасочувања, ги водат примачите до фишинг страници.

Злонамерните страници се хостирани на евтини и еднократни домени со наставки како што се .icu, .sbs, .cfd, .xyz, .top и .home, кои се заштитени со Cloudflare за да се сокрие вистинската IP адреса.

Посетителите најпрво добиваат Cloudflare CAPTCHA за да се филтрираат ботовите и да се зголеми доверливоста на страницата, додека Cloudflare Worker средина се користи за да се филтрира сообраќајот и да се вчита страницата.

Чекорот со CAPTCHA на Cloudflare на злонамерниот сајт

Целни жртви и кражба на податоци

Избраните жртви добиваат страница која имитира најава на Microsoft или Google, додека останатите се пренасочени кон општа “Welcome” страница која не претставува директна закана.

Ако жртвата ги внесе своите податоци во фишинг-формата, барањата се проксираат преку VoidProxy до вистинските сервери на Google или Microsoft.

Фишинг-страници доставени преку VoidProxy

Кај федерални сметки (на пример, оние што користат Okta за SSO), жртвите се пренасочуваат до втора фаза на фишинг-страница која го имитира процесот на Microsoft 365 или Google најава преку Okta. Овие барања исто така се проксираат до серверите на Okta.

Proxy-серверот на VoidProxy ја пренесува комуникацијата помеѓу жртвата и вистинскиот сервис, при што ги пресретнува корисничките имиња, лозинки и MFA кодови.

Кога вистинскиот сервис издава сесија колаче, VoidProxy го пресретнува, прави копија и ја става на располагање на админ-панелот на платформата, достапен за напаѓачите.

Административната контролна табла на VoidProxy

Заштита и препораки

Okta забележа дека корисници кои користеле автентикација отпорна на фишинг, како што е Okta FastPass, биле заштитени од VoidProxy и добивале предупредувања дека нивната сметка е под напад.

Препораките на истражувачите вклучуваат:

  • Ограничување на пристапот до чувствителни апликации само од управувани уреди
  • Спроведување на контроли на пристап базирани на ризик
  • Користење на IP-сесијско поврзување за административни апликации
  • Принудно повторно автентирање при обид за извршување на чувствителни административни дејства

Извори:

  • BleepingComputer – „New VoidProxy phishing service targets Microsoft 365, Google accounts“.Bleeping Computer