Un nouveau service de phishing très évasif remet en question les défenses conventionnelles de cybersécurité et contourne les méthodes courantes d'authentification multifacteur (MFA), selon une analyse détaillée d'Okta Threat Intelligence.
L'opération Phishing-as-a-Service (PhaaS), que ses auteurs ont nommée VoidProxy et qui n'avait pas été signalée auparavant, est une menace mature et évolutive utilisée par des attaquants pour cibler les comptes Microsoft et Google.
Le service utilise des techniques d'Adversary-in-the-Middle (AitM) pour intercepter les flux d'authentification en temps réel, capturant les identifiants, les codes d'authentification multifacteur et tous les token de session établis lors de l'événement de connexion. Cette fonctionnalité permet à VoidProxy de contourner la protection de plusieurs méthodes d'authentification multifacteur courantes, telles que les codes SMS et les mots de passe à usage unique (OTP) des applications d'authentificateur.
« Cette infrastructure de phishing est assez avancée, tant en termes de capacités de contournement du MFA que de la manière dont elle a été dissimulée à l'analyse jusqu'à présent », déclare Brett Winterford, vice-président d'Okta Threat Intelligence « Elle est hébergée sur une infrastructure éphémère et utilise de multiples méthodes pour échapper à l'analyse des chercheurs en menaces. »
La plateforme VoidProxy a pu échapper à l'analyse jusqu'à présent en utilisant plusieurs couches de fonctionnalités anti-analyse, y compris des comptes e-mail compromis, plusieurs redirections, des CAPTCHAs Cloudflare, des Workers Cloudflare et des services DNS dynamiques.
La découverte de VoidProxy a commencé après qu'Okta FastPass a empêché un utilisateur ciblé de se connecter via l'infrastructure proxy. « Ce signal nous a aidés à examiner les campagnes VoidProxy jusqu'à ce que nous puissions obtenir une image complète de cette capacité, y compris les panneaux d'administrateur utilisés par les cybercriminels qui paient pour accéder à ce service », explique Winterford
En offrant ce PhaaS sophistiqué, VoidProxy abaisse la barrière technique pour qu'un large éventail de cybercriminels puissent exécuter des attaques de phishing AitM. Les comptes compromis via les plateformes PhaaS facilitent de nombreuses activités malveillantes telles que la compromission des e-mails professionnels (BEC), la fraude financière, l'exfiltration de données et les mouvements latéraux au sein des réseaux des victimes.
« La meilleure façon de protéger vos utilisateurs contre des menaces telles que VoidProxy est de les inscrire à des authentificateurs résistants au phishing et d'appliquer la résistance au phishing dans les politiques d'authentification », ajoute Winterford
Dans toutes les attaques observées par l'équipe Okta Threat Intelligence, les utilisateurs inscrits à des authentificateurs résistants au phishing (dans ce cas, Okta FastPass) n'ont pas pu partager leurs identifiants ni effectuer la connexion via l'infrastructure VoidProxy, et ont été avertis que leur compte était sous attaque.
Pour plus d'informations, une analyse détaillée des techniques anti-analyse, de l'infrastructure VoidProxy et des recommandations de sécurité est disponible sur le blog de sécurité Okta. Les clients d'Okta peuvent également consulter l'avis de menace complet de 20 pages en se connectant à security.okta.com.
