Neuer Phishing-Dienst VoidProxy umgeht MFA bei Microsoft- und Google-Konten
Okta Threat Intelligence enthüllt VoidProxy, eine neue PhaaS-Plattform. Erfahren Sie, wie dieser fortschrittliche Dienst die Adversary-in-the-Middle-Technik nutzt, um MFA zu umgehen, und wie Sie sich vor Angriffen auf Microsoft- und Google-Konten schützen können.
Ein neuer Online-Betrugsdienst namens VoidProxy wurde von Cybersicherheitsforschern von Okta Threat Intelligence aufgedeckt. In einem ausführlichen Bericht vom 11. September 2025, der mit Hackread.com geteilt wurde, enthüllte das Team, dass es sich bei VoidProxy um einen Phishing-as-a-Service ( PhaaS ) handelt, eine Plattform, die alle notwendigen Tools für Cyberangriffe bereitstellt.
Die Plattform ermöglicht es Angreifern, die gängige Multi-Faktor-Authentifizierung ( MFA ) zu umgehen. Dabei handelt es sich um ein Sicherheitssystem, das neben einem Passwort auch einen Code zum Nachweis der Identität erfordert. Der Dienst nutzt eine Adversary-in-the-Middle-Technik ( AitM ), um Passwörter, MFA-Codes und andere Informationen in Echtzeit abzufangen.
Oktas Untersuchung ergab, dass ein Angriff typischerweise mit einer irreführenden E-Mail beginnt, die von einem kompromittierten Konto legitimer ESPs (E-Mail-Dienstanbieter) wie Constant Contact, Active Campaign oder NotifyVisitors gesendet wird. Dadurch können Spam-Filter umgangen werden. Wenn ein Benutzer auf den Link klickt, wird er auf eine Website weitergeleitet, die eine perfekte Kopie einer legitimen Anmeldeseite für Dienste wie Microsoft oder Google ist.
Sobald das Opfer seine Anmeldedaten und MFA-Codes eingibt, fängt das VoidProxy-System diese ab. Die Plattform übernimmt dann die Benutzersitzung und stiehlt ein wichtiges Sitzungscookie . Es ist erwähnenswert, dass dieses Cookie es Ihnen ermöglicht, in einem Konto angemeldet zu bleiben. Sobald die Angreifer eine Kopie haben, können sie alle Sicherheitsüberprüfungen umgehen und auf das Konto zugreifen, als wären sie der legitime Benutzer.
Forscher fanden heraus, dass VoidProxy auf einer cleveren zweiteiligen Infrastruktur basiert, die der Entdeckung entgehen soll. Es verwendet ein austauschbares Frontend und ein robustes Backend, sodass Kriminelle entdeckte Teile schnell aufgeben können, während ihr Hauptsystem weiterläuft.
Die Plattform nutzt außerdem mehrere Ebenen von Anti-Analyse-Funktionen, darunter kompromittierte E-Mail-Konten, Weiterleitungen und Sicherheitsüberprüfungen wie Cloudflare CAPTCHA , um die Verfolgung durch Sicherheitsteams zu erschweren, wodurch sie bisher verborgen blieb. Dieses fortschrittliche Setup mit seinem Admin-Panel, das es Kriminellen ermöglicht, gestohlene Informationen in Echtzeit zu erhalten, oft über Telegram oder andere Online-Dienste, zeigt, wie automatisiert der Vorgang ist.
Die Plattform wurde schließlich entdeckt, als es ihr nicht gelang, einen Benutzer zu kompromittieren, der durch Oktas Phishing-resistenten Authentifikator Okta FastPass geschützt war. Dies lieferte den Forschern einen Schlüssel zur Entschlüsselung des gesamten Schemas.
„Der beste Weg, Ihre Benutzer vor Bedrohungen wie VoidProxy zu schützen, ist die Nutzung von Phishing-resistenten Authentifikatoren“, rät Brett Winterford , Oktas VP of Threat Intelligence. Er erklärt, dass diese speziellen Authentifikatoren es Angreifern unmöglich machen, Anmeldeinformationen zu stehlen, und somit die wirksamste Verteidigung gegen solche fortschrittlichen Bedrohungen darstellen.
HackRead
