Son aylarda, güvenlik ekipleri, voidproxy olarak adlandırılan yeni keşfedilen kimlik avı (PHAAS) platformundan yararlanan sofistike kimlik avı kampanyalarında önemli bir artış gözlemledi.
İlk olarak Ağustos 2025’te tespit edilen operasyon, Microsoft 365’i ve benzeri görülmemiş bir gizliliğe sahip Google hesaplarını hedeflemek için birden fazla anti-analiz tekniği ve ortadaki düşman (AITM) özelliklerini birleştiriyor.
Erken e -posta cazibesi, spam filtrelerinden kaçmak ve URL kısaltma hizmetleri aracılığıyla birden fazla yönlendirme içermek için uzlaşmış meşru e -posta servis sağlayıcısı (ESP) hesaplarından kaynaklanır.
.webp)
Bu, bir Tinyurl bağlantısından yönlendirme zincirini birinci aşama kimlik avı alanına gösterir.
OKTA analistleri, ilk altyapıyı FastPass kayıt anomalileri tarafından gündeme getirilen uyarılarla tanımladılar; Kimlik avına dirençli kimlik doğrulayıcılar tarafından korunan kullanıcılar anormal oturum açma girişimleri konusunda uyarıldı.
VoidProxy Framework, gerçek sunucu IP’sini maskelemek ve yayılma çabalarını sinirlendirmek için CloudFlare’nin arkasında barındırılan tek kullanımlık düşük geri alınma alanlarından (.ICU, .xyz, .top) yararlanır.
Herhangi bir sayfayı yüklemeden önce, kurbanlar insan etkileşimini doğrulamak için bir Cloudflare Captcha Mücadelesi’ni geçmelidir (Şekil 2). Otomatik tarayıcılar veya güvenlik araçları, çoğu analiz platformunu etkili bir şekilde etkisiz hale getirerek genel bir karşılama sayfası alır.
Kurban meydan okumayı geçtikten sonra tarayıcı, trafiği filtrelemek ve uygun kimlik avı portalını yüklemekten sorumlu bir Cloudflare çalışan hizmeti ile iletişim kurar.
Bu portallar, OKTA üzerinden Federated Tek Oturum Açma (SSO) desteği de dahil olmak üzere hem Microsoft hem de Google için meşru giriş sayfalarını titizlikle taklit eder.
Federasyon olmayan kullanıcılar doğrudan Microsoft veya Google sunucularına bağlıdır, Federated kullanıcıları ise SP ile başlatılan SSO akışını taklit eden ikinci aşama sayfalarla karşılaşır ve saldırganların MFA kodlarını ve oturum tokenlerini hasat etmesini sağlar.
VoidProxy’nin AITM motorunun sofistike olması, oturum çerezlerini ve oturum belirteçlerini gerçek zamanlı olarak kesme yeteneğinde yatmaktadır.
Meşru hizmet bir oturum çerezi döndürdüğünde, proxy bir kopyasını saldırganın yönetici paneline açıklar ve tehlikeye atılan hesaba derhal erişim sağlar.
Arka uç altyapısı, geçici AITM proxy motorlarına ve müşteriye dönük yönetici panellerine ev sahipliği yapmak için dinamik DNS Wildcard Services (SSLIP.IO, NIP.IO) kullanır.
.webp)
Voidproxy yönetici paneli kontrol paneli, tehdit aktörlerinin kampanyaları yapılandırabileceğini, kurbanları izleyebileceğini ve çalıntı kimlik bilgilerini toplayabildiğini gösterir.
Enfeksiyon mekanizması ve kaçırma
VoidProxy’nin enfeksiyon zinciri, ESP itibarını kötüye kullanan iyi hazırlanmış kimlik avı e-postalarıyla başlar.
Çok katmanlı yönlendirme zinciri sadece URL tabanlı algılamadan kaçınmakla kalmaz, aynı zamanda her tek kullanımlık alanın terk edilmeden önce kısaca kullanılmasını sağlar.
Cloudflare işçisi bekçisi, meşru hedefleri analiz araçlarından ayırırken, Captcha otomatik analizi daha da hayal kırıklığına uğratıyor.
Sahne arkasında, AITM Proxy Server sağlam oturum kaçırmayı entegre eder: Microsoft, Google veya OKTA’ya yönelik kimlik bilgilerini doğruladıktan sonra, Oturum çerezini kullanıcı için etkin bir bağlantı sürdürürken saldırganlara aktarır.
Aşağıdaki örnek bir proxy snippet, motorun oturum tokenlerini nasıl yakaladığını ve günlüklerini gösteriyor:-
fetch(targetUrl, {
method: 'POST',
headers: request.headers,
body: request.body
}).then(response => {
const sessionCookie = response.headers.get('set-cookie');
logStolenCookie(sessionCookie);
return response;
});Bu kesintisiz röle, kurbanların uzlaşmanın farkında olmadıklarını ve saldırganların BEC, veri pespiltrasyonu ve kurumsal ortamlarda yanal hareket yapmasına izin vermesini sağlar.
Voidproxy’nin mekanizmalarını anlamak, hedeflenen algılama kurallarını uygulamaya çalışan ve daha güçlü kimlik avlamaya dirençli kimlik doğrulamasını uygulamak isteyen savunucular için kritiktir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.