Selon Okta Threat Intelligence (sec.okta.com), une analyse détaillée dévoile « VoidProxy », une opération de Phishing-as-a-Service inédite et particulièrement évasive, ciblant des comptes Microsoft et Google et redirigeant les comptes fédérés (SSO tiers comme Okta) vers des pages de phishing de second niveau.

• Aperçu de la menace: VoidProxy est un service mature et scalable de phishing en Adversary-in-the-Middle (AitM) capable d’intercepter en temps réel les flux d’authentification pour capturer identifiants, codes MFA et cookies de session, contournant des méthodes MFA courantes (SMS, OTP d’apps). Les comptes compromis facilitent des activités telles que BEC, fraude financière, exfiltration de données et mouvements latéraux. Les utilisateurs protégés par des authentificateurs résistants au phishing (ex: Okta FastPass) n’ont pas pu se connecter via l’infrastructure VoidProxy et ont été alertés. Okta fournit un avis de menace complet (avec IOCs) via security.okta.com et Identity Threat Protection.

• Chaîne d’attaque (4 étapes):

  1. Delivery & leurre 🎣: e-mails envoyés depuis des comptes ESP compromis (Constant Contact, Active Campaign/Postmarkapp, NotifyVisitors…), liens via raccourcisseurs (TinyURL) et multiples redirections vers des pages de première étape.
  2. Évasion & chargement du leurre: CAPTCHA Cloudflare, puis contrôle via Cloudflare Workers (*.workers.dev) jouant le rôle de « gatekeeper » et chargeant la page de phishing (portails Microsoft: login.. / Google: accounts..). Accès automatisés redirigés vers une page « Welcome! » inoffensive.
  3. Deuxième étape: après saisie des identifiants, les utilisateurs fédérés sont redirigés vers des pages de second niveau imitant des flux SP-initiés avec Okta (patterns de sous-domaines dédiés), tandis que les non-fédérés sont proxifiés directement vers Microsoft/Google.
  4. AitM & détournement de session: un serveur proxy (infrastructure éphémère) relaye et intercepte les échanges avec Microsoft/Google/Okta, exfiltre les cookies de session vers un panneau d’administration où l’attaquant peut les récupérer pour accéder aux comptes.

• Infrastructure et opérations: L’avant-scène repose sur des domaines jetables (TLDs à bas coût: .icu, .sbs, .cfd, .xyz, .top, .home) derrière Cloudflare (masquage IP). Le cœur AitM et le panel admin s’appuient sur des services DNS dynamiques (wildcards sslip[.]io et nip[.]io), suggérant un provisioning (semi-)automatisé pour les « clients » du PhaaS, offrant isolation et obfuscation. Le panel propose tableaux de bord, réglages de campagne, exfiltration des secrets via Télégram Bot Tokens ou Webhooks, et intégrations d’outils tiers.

• Recommandations publiées par Okta 🛡️: adopter des authentificateurs résistants au phishing (Okta FastPass, FIDO2 WebAuthn/passkeys, cartes à puce) et les imposer en politique; restreindre l’accès aux appareils gérés et protégés; politiques réseau rare = risque accru; détection des déviations comportementales (Okta Behavior/Risk) avec step-up/deny; formation et signalement facile des activités suspectes; réponse en temps réel via Identity Threat Protection; IP Session Binding et ré-authentification pour actions sensibles (Protected Actions).

• IOCs et TTPs (extraits) 🔍:

  • TTPs: AitM reverse proxy, captation de cookies/mots de passe/MFA, multi-redirections, Cloudflare CAPTCHA, Cloudflare Workers comme filtre/loader, anti-analyse (page « Welcome! »), hébergement derrière Cloudflare.
  • Leurre/diffusion: comptes ESP compromis (Constant Contact, Active Campaign/Postmarkapp, NotifyVisitors), URL shorteners (TinyURL).
  • Infra/déploiement: TLDs jetables (.icu, .sbs, .cfd, .xyz, .top, .home), DNS dynamiques: sslip[.]io, nip[.]io; Workers: *.workers.dev.
  • Patterns de domaines: première étape Microsoft: login.<phishing_domain>.; première étape Google: accounts.<phishing_domain>.; deuxième étape Microsoft: newnewdom. <phishing_domain>.; deuxième étape Google: securedauthxx. <phishing_domain>..

Type et but: analyse de menace détaillée visant à documenter l’opération PhaaS « VoidProxy », ses techniques d’évasion et son infrastructure, avec des recommandations et des IOCs pour la défense.

🧠 TTPs et IOCs détectés

TTP

Adversary-in-the-Middle (AitM) reverse proxy, captation de cookies/mots de passe/MFA, multi-redirections, Cloudflare CAPTCHA, Cloudflare Workers comme filtre/loader, anti-analyse (page « Welcome! »), hébergement derrière Cloudflare

IOC

comptes ESP compromis (Constant Contact, Active Campaign/Postmarkapp, NotifyVisitors), URL shorteners (TinyURL), TLDs jetables (.icu, .sbs, .cfd, .xyz, .top, .home), DNS dynamiques: sslip[.]io, nip[.]io; Workers: *.workers.dev, Patterns de domaines: login.<phishing_domain>., accounts.<phishing_domain>., newnewdom.<phishing_domain>., securedauthxx.<phishing_domain>.

🔗 Source originale : https://sec.okta.com/articles/uncloakingvoidproxy/