New VoidProxy threat targets Microsoft 365 and Google accounts

新たに発見されたフィッシング・アズ・ア・サービス(PhaaS)プラットフォームは、VoidProxyと名付けられ、Oktaのようなサードパーティのシングルサインオン(SSO)プロバイダによって保護されたものも含め、Microsoft 365およびGoogleアカウントを標的としている。

このプラットフォームは、敵対的中間者(AitM)戦術を使用して、認証情報、多要素認証(MFA)コード、およびセッション・クッキーをリアルタイムで盗み出します。

VoidProxyはOkta Threat Intelligenceのリサーチャーによって発見され、スケーラブルで回避可能な巧妙な攻撃であると説明されています。

この攻撃は、Constant Contact、Active Campaign、NotifyVisitorsのような電子メールサービスプロバイダの侵害されたアカウントからの電子メールから始まり、複数のリダイレクトの後に受信者をフィッシングサイトに送る短縮リンクが含まれています。

悪質なサイトは、.icu、.sbs、.cfd、.xyz、.top、.homeの使い捨ての低コストのドメインでホストされており、それらはCloudflareによって保護され、実際のIPを隠している。

訪問者にはまずCloudflare CAPTCHAチャレンジが提供され、ボットをフィルタリングし、正当性の感覚を高めます。一方、Cloudflare Worker環境はトラフィックをフィルタリングし、ページをロードするために使用されます。

The Cloudflare CAPTCHA step on the malicious site
悪意のあるサイトのCloudflare CAPTCHAステップ
ソースはこちら:Okta

選択されたターゲットはマイクロソフトやグーグルのログインを模倣したページを受け取り、残りのターゲットは何の脅威ももたらさない一般的な「ようこそ」ページに誘導される。

フィッシング・フォームに認証情報が入力されると、リクエストはVoidProxyのAitM(adversary-in-the-middle)を通じてGoogleやMicrosoftのサーバーにプロキシされる。

Phishing pages served by VoidProxy
VoidProxy が提供するフィッシング・ページ
ソースはこちら:Okta

SSOにOktaを使用しているような連携アカウントは、Oktaを使用したMicrosoft 365やGoogleのSSOフローを装ったセカンドステージのフィッシングページにリダイレクトされます。これらのリクエストはOktaサーバーにプロキシされている。

このサービスのプロキシサーバーは、被害者と正規サービス間のトラフィックを中継し、転送中のユーザー名、パスワード、MFAコードをキャプチャする。

正規のサービスがセッションクッキーを発行すると、VoidProxyはそれを傍受し、攻撃者がプラットフォームの管理パネル上で利用できるようにコピーを作成します。

VoidProxy's admin panel
VoidProxyの管理パネル
Source:オクタ

Oktaは、Okta FastPassのようなフィッシングに耐性のある認証に登録しているユーザーは、VoidProxyの攻撃フローから保護され、アカウントが攻撃を受けているという警告を受け取ったと述べている。

研究者の推奨事項としては、管理対象デバイスのみに機密アプリのアクセスを制限すること、リスクベースのアクセス制御を実施すること、管理アプリにIPセッションバインディングを使用すること、機密アクションを試みる管理者に再認証を強制すること、などが挙げられている。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Picus Blue Report 2025

パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加

46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。

今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。