Pesquisadores da Okta identificaram uma nova ameaça chamada VoidProxy, um serviço de phishing como serviço que está sendo usado para comprometer contas de usuários em plataformas como Google e Microsoft, mesmo quando protegidas por autenticação multifator. O serviço opera com técnicas de interceptação avançadas que permitem capturar credenciais e tokens de acesso em tempo real.
O VoidProxy utiliza ataques do tipo adversário no meio, em que o usuário é enganado por páginas falsas que imitam os portais legítimos de login. Ao inserir seu nome de usuário, senha e código MFA, a vítima entrega essas informações diretamente ao atacante, que as utiliza imediatamente para acessar a conta de forma legítima. Os ataques começam com e mails enviados a partir de contas comprometidas de serviços legítimos como Constant Contact e Active Campaign. Esses e mails contêm links encurtados que passam por múltiplos redirecionamentos, até levar o usuário à página falsa protegida por mecanismos como CAPTCHAs e serviços da Cloudflare, dificultando a detecção.
O serviço emprega domínios descartáveis e infraestrutura transitória, mudando rapidamente de servidores e endereços para evitar bloqueios. Segundo os pesquisadores, mesmo usuários que utilizam autenticação por SMS ou aplicativos autenticadores como Google Authenticator ou Microsoft Authenticator podem ser vítimas. Por outro lado, usuários que adotam métodos resistentes a phishing, como chaves de segurança físicas, passkeys ou autenticação baseada em dispositivos gerenciados, demonstraram estar mais protegidos contra esse tipo de ataque
