Nieuwe VoidProxy-phishingservice omzeilt MFA op Microsoft- en Google-accounts
Okta Threat Intelligence onthult VoidProxy, een nieuw PhaaS-platform. Ontdek hoe deze geavanceerde service de Adversary-in-the-Middle-techniek gebruikt om MFA te omzeilen en hoe u zich kunt beschermen tegen aanvallen die gericht zijn op Microsoft- en Google-accounts.
Cybersecurityonderzoekers van Okta Threat Intelligence hebben een nieuwe online fraudedienst, VoidProxy, blootgelegd. In een gedetailleerd rapport van 11 september 2025, gedeeld met Hackread.com, onthulde het team dat VoidProxy een Phishing-as-a-Service ( PhaaS ) is, een platform dat alle tools biedt die nodig zijn om cyberaanvallen uit te voeren.
Het platform stelt aanvallers in staat de gangbare multifactorauthenticatie ( MFA ) te omzeilen, een beveiligingssysteem dat naast een wachtwoord ook een code nodig heeft om uw identiteit te bewijzen. De dienst maakt gebruik van een techniek genaamd Adversary-in-the-Middle ( AitM ) om wachtwoorden, MFA-codes en andere informatie in realtime te onderscheppen.
Uit Okta's onderzoek bleek dat een aanval doorgaans begint met een misleidende e-mail die wordt verzonden vanaf een gehackt account van legitieme ESP's (Email Service Providers), zoals Constant Contact, Active Campaign of NotifyVisitors. Deze e-mail helpt spamfilters te omzeilen. Wanneer een gebruiker op de link klikt, wordt hij of zij doorgestuurd naar een website die een exacte kopie is van een legitieme inlogpagina voor diensten zoals Microsoft of Google.
Zodra het slachtoffer zijn inloggegevens en MFA-codes invoert, onderschept het VoidProxy-systeem deze. Het platform neemt vervolgens de sessie van de gebruiker over en steelt een cruciale sessiecookie . Het is belangrijk om te weten dat deze cookie ervoor zorgt dat u ingelogd kunt blijven op een account. Zodra de aanvallers een kopie hebben, kunnen ze alle beveiligingscontroles omzeilen en toegang krijgen tot het account alsof ze de legitieme gebruiker zijn.
Onderzoekers ontdekten dat VoidProxy is gebouwd op een slimme, tweedelige infrastructuur die is ontworpen om detectie te omzeilen. Het maakt gebruik van een wegwerpbare front-end en een veerkrachtige back-end, waardoor criminelen snel onderdelen kunnen verwijderen die worden ontdekt, terwijl hun hoofdsysteem blijft draaien.
Het platform maakt ook gebruik van meerdere lagen anti-analysefuncties, waaronder gehackte e-mailaccounts, omleidingen en beveiligingscontroles zoals Cloudflare CAPTCHA , om het voor beveiligingsteams moeilijk te maken om te traceren, wat het tot nu toe verborgen heeft gehouden. Deze geavanceerde configuratie, met het beheerderspaneel waarmee criminelen gestolen informatie in realtime kunnen ontvangen, vaak via Telegram of andere online diensten, laat zien hoe geautomatiseerd de operatie is.
Het platform werd uiteindelijk ontdekt toen het er niet in slaagde een gebruiker te hacken die beschermd was door Okta's phishingbestendige authenticator, Okta FastPass. Deze authenticator gaf onderzoekers een sleutel om de hele oplichting te ontrafelen.
"De beste manier om uw gebruikers te beschermen tegen bedreigingen zoals VoidProxy is door gebruik te maken van phishingbestendige authenticators", adviseert Brett Winterford , VP Threat Intelligence bij Okta. Hij legt uit dat deze speciale authenticators het voor aanvallers onmogelijk maken om inloggegevens te stelen en daarmee de meest effectieve verdediging vormen tegen dergelijke geavanceerde bedreigingen.
HackRead
