Laut einer detaillierten Analyse von Okta Threat Intelligence stellt ein neuer, hochgradig ausweichender Phishing-Service herkömmliche Cybersicherheitsverteidigungen in Frage und umgeht gängige Multi-Faktor-Authentifizierungsmethoden (MFA).
Die bisher nicht gemeldete Phishing-as-a-Service (PhaaS)-Operation, die von ihren Urhebern VoidProxy genannt wurde, ist eine ausgereifte, skalierbare Bedrohung, die von Angreifern genutzt wird, um Microsoft- und Google-Accounts anzugreifen.
Der Dienst nutzt Adversary-in-the-Middle (AitM)-Techniken, um Authentifizierungsabläufe in Echtzeit abzufangen und dabei Anmeldedaten, MFA-Codes sowie alle während des Sign-in-Vorgangs erstellten Sitzungs-Token zu erfassen. Diese Funktion ermöglicht es VoidProxy, den Schutz mehrerer gängiger MFA-Methoden, wie SMS-Codes und Einmal-Passwörter (OTP) von Authentifizierungsfaktor-Apps, zu umgehen.
„Diese… Phishing-Infrastruktur ist sowohl in Bezug auf die Umgehungen der MFA als auch auf die Art und Weise, wie sie bisher vor der Analyse verborgen wurde, recht fortschrittlich“, sagt Brett Winterford, Vice President von Okta Threat Intelligence „Es wird auf flüchtiger Infrastruktur gehostet und nutzt mehrere Methoden, um die Analyse durch Bedrohungsforscher zu umgehen.“
Die VoidProxy-Plattform konnte sich bis zu diesem Zeitpunkt der Analyse entziehen, indem sie mehrere Ebenen von Anti-Analyse-Funktionen verwendete, darunter kompromittierte E-Mail-Adressen, mehrere Umleitungen, Cloudflare-CAPTCHAs, Cloudflare-Workers und dynamische DNS-Dienste.
Die Erkennung von VoidProxy begann, nachdem Okta FastPass einen gezielten Benutzer daran hinderte, sich über die Proxy-Infrastruktur anzumelden. „Dieses Signal half uns, VoidProxy-Kampagnen aufzudecken, bis wir ein vollständiges Bild dieser Fähigkeit erhielten, einschließlich der Administrator-Panels, die von Angreifern genutzt werden, die für den Zugang zu diesem Dienst bezahlen“, erklärt Winterford
Durch das Angebot dieses ausgefeilten PhaaS senkt VoidProxy die technische Hürde für eine breite Palette von Angreifern, AitM-Phishing-Angriffe auszuführen. Kompromittierte Accounts, die PhaaS-Plattformen nutzen, ermöglichen zahlreiche bösartige Aktivitäten wie Business Email Compromise (BEC), Finanzbetrug, Datenexfiltration und laterale Bewegungen innerhalb von Opfernetzwerken.
„Der beste Weg, Ihre Benutzer vor Bedrohungen wie VoidProxy zu schützen, besteht darin, sie bei phishing-resistenten Authentifizierungsfaktoren anzumelden und Phishing-Resistenz in Anmelderichtlinien durchzusetzen“, fügt Winterford hinzu.
Bei allen vom Okta Threat Intelligence Team beobachteten Angriffen konnten Benutzer, die bei Phishing-resistenten Authentifizierungsfaktoren (in diesem Fall Okta FastPass) registriert waren, keine Anmeldedaten weitergeben oder sich über die VoidProxy-Infrastruktur per Sign-in anmelden. Sie wurden gewarnt, dass ihr Account angegriffen wurde.
Weitere Informationen, eine detaillierte Aufschlüsselung der Anti-Analyse-Techniken, der VoidProxy-Infrastruktur und Sicherheitsempfehlungen finden Sie im Okta Security Blog. Okta-Kunden können auch die vollständige 20-seitige Bedrohungsanalyse einsehen, indem sie sich bei security.okta.com anmelden.
