-
09/04/2020
-
112
-
1.104 bài viết
Dịch vụ phishing mới VoidProxy nhắm vào tài khoản Microsoft 365 và Google
Một nền tảng phishing-as-a-service mới mang tên VoidProxy vừa được nhóm nghiên cứu Okta Threat Intelligence phát hiện, mở ra mối đe dọa nghiêm trọng cho người dùng Microsoft 365 và Google Workspace. Khác với những chiến dịch phishing truyền thống chỉ đánh cắp mật khẩu, VoidProxy được thiết kế để thu thập cả thông tin đăng nhập, mã xác thực đa yếu tố (MFA) và cookie phiên theo thời gian thực, cho phép kẻ tấn công chiếm quyền truy cập tài khoản ngay lập tức, vượt qua các lớp phòng vệ thông thường.
Các nhà nghiên cứu của Okta mô tả VoidProxy là một nền tảng có quy mô, khó phát hiện và được vận hành tinh vi. Chiến dịch bắt đầu bằng những email được gửi từ các tài khoản đã bị xâm nhập trên các dịch vụ như Constant Contact, Active Campaign và NotifyVisitors. Các email này chứa liên kết rút gọn được chuyển hướng qua nhiều lớp nhằm né hệ thống lọc thư rác, trước khi dẫn nạn nhân đến các trang phishing được lưu trữ trên tên miền giá rẻ như .icu, .sbs, .cfd, .xyz, .top, .home. Toàn bộ hạ tầng được che chắn bằng Cloudflare để giấu địa chỉ IP thật và tăng độ tin cậy.
Khi người dùng truy cập các liên kết này, họ phải vượt qua một bước CAPTCHA của Cloudflare, tạo cảm giác hợp pháp và loại bỏ phần lớn bot tự động. Ở hậu trường, VoidProxy sử dụng Cloudflare Worker để phân tích và lọc lưu lượng, chỉ cho phép người dùng thực sự nằm trong danh sách mục tiêu tiếp cận trang lừa đảo, trong khi những truy cập còn lại bị chuyển đến trang Welcome vô hại. Cách tiếp cận này giúp chiến dịch tránh bị phát hiện trong quá trình phân tích và gia tăng tỷ lệ thành công.
Bước CAPTCHA của Cloudflare trên trang web độc hại
Những nạn nhân đủ điều kiện sẽ được hiển thị một trang đăng nhập Microsoft hoặc Google được làm giả gần như hoàn hảo. Khi thông tin đăng nhập được nhập vào, dữ liệu sẽ được chuyển qua máy chủ của VoidProxy trước khi gửi đến máy chủ thật, cho phép kẻ tấn công thu thập tên người dùng, mật khẩu và mã MFA theo thời gian thực. Với các tổ chức sử dụng đăng nhập một lần (SSO) qua Okta, nạn nhân sẽ bị điều hướng sang trang mô phỏng luồng xác thực Microsoft 365 hoặc Google kèm Okta, tiếp tục proxy lưu lượng về hệ thống thật để ghi lại toàn bộ dữ liệu xác thực.
Các trang lừa đảo được cung cấp bởi VoidProxy
Điểm khiến VoidProxy trở nên đặc biệt nguy hiểm là khả năng chiếm quyền truy cập mà không cần nhập lại mật khẩu hay mã MFA. Khi dịch vụ hợp pháp cấp cookie phiên, VoidProxy ngay lập tức sao chép và cung cấp cookie này trên bảng điều khiển quản trị của nền tảng, cho phép kẻ tấn công đăng nhập vào tài khoản nạn nhân một cách liền mạch. Điều này khiến ngay cả người dùng đã bật MFA vẫn có nguy cơ bị xâm nhập nếu rơi vào bẫy AitM.
Bảng quản trị của VoidProxy
Theo Okta, những người dùng đã triển khai cơ chế xác thực chống phishing như Okta FastPass được bảo vệ trước kịch bản này và sẽ nhận cảnh báo khi bị nhắm mục tiêu. Các chuyên gia khuyến nghị doanh nghiệp giới hạn truy cập ứng dụng nhạy cảm chỉ từ thiết bị được quản lý, áp dụng kiểm soát truy cập theo rủi ro, ràng buộc phiên đăng nhập theo địa chỉ IP đối với ứng dụng quản trị và yêu cầu xác thực lại khi quản trị viên thực hiện hành động quan trọng.
Sự xuất hiện của VoidProxy cho thấy các dịch vụ phishing-as-a-service đang tiến hóa nhanh chóng, trở nên tinh vi hơn, tự động hóa hơn và khó phát hiện hơn, đặc biệt khi chúng tận dụng hạ tầng hợp pháp như Cloudflare để ẩn mình. Doanh nghiệp cần nhanh chóng nâng cấp hệ thống xác thực, tăng cường giám sát và huấn luyện nhân viên để giảm nguy cơ trở thành nạn nhân của các cuộc tấn công AitM.
Các nhà nghiên cứu của Okta mô tả VoidProxy là một nền tảng có quy mô, khó phát hiện và được vận hành tinh vi. Chiến dịch bắt đầu bằng những email được gửi từ các tài khoản đã bị xâm nhập trên các dịch vụ như Constant Contact, Active Campaign và NotifyVisitors. Các email này chứa liên kết rút gọn được chuyển hướng qua nhiều lớp nhằm né hệ thống lọc thư rác, trước khi dẫn nạn nhân đến các trang phishing được lưu trữ trên tên miền giá rẻ như .icu, .sbs, .cfd, .xyz, .top, .home. Toàn bộ hạ tầng được che chắn bằng Cloudflare để giấu địa chỉ IP thật và tăng độ tin cậy.
Khi người dùng truy cập các liên kết này, họ phải vượt qua một bước CAPTCHA của Cloudflare, tạo cảm giác hợp pháp và loại bỏ phần lớn bot tự động. Ở hậu trường, VoidProxy sử dụng Cloudflare Worker để phân tích và lọc lưu lượng, chỉ cho phép người dùng thực sự nằm trong danh sách mục tiêu tiếp cận trang lừa đảo, trong khi những truy cập còn lại bị chuyển đến trang Welcome vô hại. Cách tiếp cận này giúp chiến dịch tránh bị phát hiện trong quá trình phân tích và gia tăng tỷ lệ thành công.
Bước CAPTCHA của Cloudflare trên trang web độc hại
Các trang lừa đảo được cung cấp bởi VoidProxy
Bảng quản trị của VoidProxy
Sự xuất hiện của VoidProxy cho thấy các dịch vụ phishing-as-a-service đang tiến hóa nhanh chóng, trở nên tinh vi hơn, tự động hóa hơn và khó phát hiện hơn, đặc biệt khi chúng tận dụng hạ tầng hợp pháp như Cloudflare để ẩn mình. Doanh nghiệp cần nhanh chóng nâng cấp hệ thống xác thực, tăng cường giám sát và huấn luyện nhân viên để giảm nguy cơ trở thành nạn nhân của các cuộc tấn công AitM.
Theo Bleeping Computer