كشف باحثو Okta Threat Intelligence عن حملة تصيد احتيالي نشطة تقودها خدمة جديدة حملت اسم VoidProxy، وتستهدف حسابات Google وMicrosoft لمختلف المؤسسات حول العالم. ووفقاً للتقرير المفصل الذي أصدرته الشركة حول الأمر، فقد نجح المهاجمون في الاستيلاء على بيانات الاعتماد، وأكواد التحقق متعدد العوامل، ورموز الجلسات في الوقت الفعلي، من خلال هجمات تعتمد على تقنية المهاجم في الوسط (Attacker-in-the-Middle).
أشارت Okta إلى بيع الخدمة كمشروع تصيد كخدمة، وتخضع لإدارة لوحة تحكم تتيح للمجرمين إدارة الحملات ومتابعة عدد بيانات الدخول والرموز المسروقة بشكل يومي، مع خرائط توضح التوزيع الجغرافي للضحايا. وبينما لم تفصح Google وMicrosoft عن حجم الحسابات المخترقة، أكدت Okta أن عمليات استحواذ مؤكدة على الحسابات تمت في عدة كيانات، مرجحة أن العدد الفعلي أكبر بكثير.
كيفية تنفيذ الهجوم
يبدأ الهجوم عبر رسائل بريد إلكتروني مرسلة من حسابات شرعية تم اختراقها، باستخدام مزودين مثل Constant Contact وActiveCampaign. هذه الرسائل تتضمن روابط عبر خدمات اختصار الروابط مثل TinyUrl، لتجري إعادة توجيه الضحية عدة مرات قبل وصوله إلى صفحة تصيد تحاكي تماماً صفحة تسجيل الدخول في Google أو Microsoft.
يستضيف المهاجمون هذه الصفحات على نطاقات منخفضة التكلفة مثل .icu و.xyz و.top، مع إخفاء العناوين الحقيقية خلف خدمة Cloudflare. بعد اجتياز المستخدم اختبار CAPTCHA، يتم تمرير بيانات الدخول إلى خادم وسيط تابع لـVoidProxy يعمل كبنية مؤقتة. هذا الخادم ينفذ هجوم Attacker-in-the-Middle حيث يلتقط أسماء المستخدمين وكلمات المرور وأكواد التحقق متعدد العوامل، ثم يرسلها إلى خوادم Google وMicrosoft الفعلية للحصول على ملف تعريف جلسة صالح. نسخة من ملف تعريف الجلسة يام تخزينها وتصبح متاحة للمهاجم عبر لوحة تحكمه.
ارتباط ببنية مظلمة وتوصيات وقائية
تعود الإعلانات عن خدمة VoidProxy إلى أغسطس 2024 على منتديات الشبكة المظلمة، بينما بدأت الهجمات الفعلية منذ يناير الماضي. ويؤكد باحثو Okta أن النشاط لا يزال مستمراً مع اكتشاف بنية تحتية جديدة بشكل يومي.
بدورها، علقت Google بأن مثل هذه الحملات ليست جديدة وأنها تطور باستمرار وسائل حماية ضد هجمات التصيد، من بينها الدفاعات ضد انتحال النطاقات والمرسلين المخترقين، مشددة على أهمية استخدام مفاتيح المرور (Passkeys) كوسيلة قوية لمقاومة التصيد. أما Microsoft فقد امتنعت عن التعليق.
يوصي التقرير باستخدام أدوات تحقق قوية مثل Okta FastPass واعتماد معايير FIDO2 WebAuthn التي تشمل Passkeys والمفاتيح الأمنية، إضافة إلى تبني سياسات مقاومة للتصيد. كما دعا الباحثون إلى التزام الشركاء الصناعيين، ومن بينهم Google وMicrosoft، بمعايير موحدة مثل IPSIE، بما يعزز القدرة على تعطيل الجلسات المخترقة بشكل فوري على الأجهزة والتطبيقات عند رصد نشاط خبيث.
