I ricercatori di Okla hanno individuato una nuova piattaforma PaaS (Phishing-as-a-Service) che viene usata per colpire gli account Microsoft 365 e Google. Il servizio denominato VoidProxy consente ai cybercriminali di portare le ignare vittime su pagine di phishing e quindi di prendere il controllo dell’account.
Descrizione di VoidProxy
L’obiettivo principale del phishing è rubare le credenziali di login (account dei servizi digitali, bancari e altri). Gli utenti possono però attivare l’autenticazione multi-fattore (MFA) come protezione aggiuntiva. In questo caso non è sufficiente conoscere username e password. VoidProxy permette di aggirare i tradizionali metodi MFA, come i codici inviati via SMS e quelli OTP delle app di autenticazione.
L’attacco inizia con l’invio di email da account compromessi di vari provider. In ogni messaggio è presente un URL che porta l’utente sulla pagina di phishing ospitata su domini a basso costo che sono protetti da Cloudflare (viene nascosto l’indirizzo IP). Dopo aver risolto un CAPTCHA di Cloudflare, le ignare vittime vedono una schermata di login simile a quella di Microsoft 365 e Google.
Dopo aver inserito le credenziali entra in gioco VoidProxy. Sfruttando la tecnica AitM (Adversary-in-the-Middle), la piattaforma effettua il redirecting ai server di Microsoft e Google per gli account locali, mentre quelli protetti da provider SSO (single sign-on) vengono reindirizzati verso i server di questi ultimi (ad esempio Okta).
Il server di VoidProxy funziona come un reverse proxy e intercetta username, password, codici MFA e cookie di sessione. Questi ultimi permettono quindi ai cybercriminali di accedere all’account della vittima. Per limitare i rischi è consigliato l’uso di metodi di autenticazione FIDO2 (passkey e chiavi hardware).
Ti potrebbe interessare
15 set 2025