Uma nova e sofisticada plataforma de phishing, batizada de VoidProxy, está a colocar em risco as contas de utilizadores do Microsoft 365 e Google. Este serviço de "phishing-as-a-service" (PhaaS) consegue contornar até mesmo algumas medidas de segurança avançadas, incluindo fornecedores de início de sessão único (SSO) como o Okta.
A descoberta foi feita pelos investigadores da Okta Threat Intelligence, que descrevem a plataforma como escalável, evasiva e tecnologicamente avançada. O seu principal objetivo é roubar credenciais, códigos de autenticação multifator (MFA) e cookies de sessão em tempo real, dando aos atacantes acesso completo às contas das vítimas.
Como funciona o ataque VoidProxy?
O esquema começa de forma subtil, com um e-mail enviado a partir de contas comprometidas em serviços de marketing digital conhecidos, como o Constant Contact ou o Active Campaign. Estes e-mails contêm links encurtados que, após uma série de redirecionamentos, levam a vítima a um site de phishing.
Para iludir as defesas e parecerem legítimos, estes sites maliciosos são alojados em domínios de baixo custo e protegidos pela Cloudflare, ocultando assim o seu verdadeiro endereço IP. Para aumentar a sensação de legitimidade e filtrar sistemas de deteção automáticos, a página apresenta primeiro um desafio CAPTCHA da Cloudflare. Só os alvos selecionados são depois encaminhados para uma página que imita na perfeição o portal de início de sessão da Microsoft ou da Google.
O roubo de credenciais em tempo real
É aqui que a sofisticação do VoidProxy se revela. A plataforma utiliza táticas de "adversary-in-the-middle" (AitM), funcionando como um intermediário invisível entre o utilizador e o serviço legítimo. Quando a vítima insere o seu nome de utilizador e palavra-passe, estes dados são enviados para os servidores da Google ou da Microsoft através do sistema do VoidProxy, que os interceta e regista.
O ataque não para por aí. Mesmo que a conta esteja protegida com autenticação multifator, o código de verificação inserido pela vítima também é capturado. O passo final é o roubo do cookie de sessão, um pequeno ficheiro que mantém a sessão ativa. Com este cookie em sua posse, o atacante consegue aceder à conta da vítima sem precisar de se autenticar novamente, obtendo controlo total.
Como se pode proteger desta nova ameaça?
Apesar da sua complexidade, existem formas de se proteger. A Okta observou que os utilizadores que tinham ativado métodos de autenticação resistentes a phishing, como o Okta FastPass, estavam protegidos e receberam avisos de que a sua conta estava sob ataque.
Para reforçar a segurança das suas contas, os especialistas recomendam a restrição do acesso a aplicações sensíveis apenas a partir de dispositivos geridos e conhecidos. É também aconselhável aplicar controlos de acesso baseados em risco, que podem exigir verificações adicionais se for detetada uma tentativa de início de sessão suspeita, e forçar a reautenticação para administradores que tentem realizar ações críticas.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech
