VoidProxy vereinfacht die Übernahme von Google- und Microsoft-Konten

Jede Woche werden Tausende von Anmeldeinformationen kompromittiert. VoidProxy ermöglicht den Angriff nahezu augenblicklich: Ein Klick auf einen manipulierten Link, und der Hacker schlüpft zwischen den Nutzer und die Google- oder Microsoft-Server. Authentifizierungscodes, Sitzungscookies – alles wird in Echtzeit abgegriffen. Das Ergebnis: direkter Zugriff auf Gmail-, Outlook- oder Hotmail-Postfächer sowie auf OneDrive-Dateien und Exchange-Kalender. Ob Unternehmen oder Privatperson – niemand bleibt verschont. Anfang 2025 identifizierte Kampagnen basieren auf kostengünstigen Domains und einem hinter Cloudflare verborgenen Reverse-Proxy. Okta-Analysten schlagen Alarm: Das Tempo nimmt zu, und täglich tauchen neue bösartige Infrastrukturen auf. VoidProxy: Die neue Waffe gegen Unternehmenskonten Phishing-as-a-Service wird wie ein Netflix-Abonnement gemietet. Der Kunde erstellt seine Kampagne über ein ultra-einfaches Dashboard. Hinter den Kulissen teilen sich mehrere cyberkriminelle Banden die Infrastruktur; sie zielen auf alles ab, vom Windows-basierten KMU bis zum globalen Riesen. Die Falle beginnt oft mit einem legitimen gehackten Newsletter, der über Constant Contact oder Postmark verschickt wird. Die verkürzte URL leitet auf eine geklonte Gmail- oder Outlook-Seite weiter. Ein Cloudflare-CAPTCHA beruhigt das Opfer: Wenn ein Bot nicht durchkommt, ist die Seite sicher, so das Gefühl. Schwerwiegender Fehler: Der Reverse-Proxy fängt den Austausch ab und kopiert das unverschlüsselte Sitzungscookie. Innerhalb weniger Sekunden durchsucht der Hacker das Postfach, liest vertrauliche Konversationen und erstellt Weiterleitungsregeln, um die Sicherheit zu gewährleisten. Der blitzschnelle Ablauf eines erfolgreichen Angriffs Sobald das Cookie gestohlen ist, sind weder Passwort noch MFA mehr erforderlich. Der Hacker injiziert das Token in seinen Browser und öffnet das Exchange-Postfach, als wäre nichts geschehen. Er lädt die Finanzberichte herunter, ruft die in der E-Mail gespeicherten API-Schlüssel ab und durchsucht anschließend OneDrive Es folgt der Wechsel zum Desktop: eine Aufforderung zur Installation eines Support-Agenten, anschließend die Kontrolle über die Windows- oder Android-Mobilgeräte. Die Beute erstreckt sich dann auf CRMs, Git-Repositories und Abrechnungstools. Jeder Schritt erfolgt in Echtzeit; läuft das Token ab, generiert VoidProxy innerhalb von Millisekunden ein neues, solange das Opfer auf der betroffenen Seite bleibt. Warum MFA unter Druck nachgibtMulti-Faktor-Authentifizierung schien ein Allheilmittel zu sein. Doch der Angreifer fängt den OTP-Code oder die Push-Benachrichtigung ab, ohne dass der Nutzer es merkt. Der legitime Server validiert die Abfrage und gibt anschließend ein Cookie zurück, das sofort geklont wird. Die Sitzung wird in den Google- oder Microsoft-Protokollen als genehmigt angezeigt. Für den Administrator bleibt nichts hängen. FIDO2-Token hingegen sind robust, da sie die Domäne mit dem privaten Schlüssel verknüpfen. Deshalb empfehlen Sicherheitsteams die Verwendung von Passkeys und die Deaktivierung sogenannter „weniger sicherer“ Anwendungen. Ohne diese Barriere können präparierte E-Mails die MFA weiterhin umgehen, selbst auf Outlook Mobile oder Gmail Web. Betroffene und gefährdete Branchen In Europa kam es im Finanzsektor bereits zu mehreren Angriffen auf hochvertrauliche Daten. In Asien schlägt die Pharmaindustrie Alarm: Die in OneDrive gespeicherten Formeln sind ein Vermögen wert. In Nordamerika wurden die Gmail- und Hotmail-Konten eines Sportvereins offengelegt, wodurch Buchmacher an sensible Überweisungsdaten gelangten. Die Wirksamkeit von VoidProxy beruht auf der Streuung: Wöchentlich erneuerte .icu-, .xyz- und .top-Domains, temporäre Server und Zahlungen in Kryptowährungen. Experten befürchten einen Anstieg der Angriffe im öffentlichen Sektor: Rathäuser, Krankenhäuser und Universitäten. Die Kombination aus veralteten lokalen Exchange-Systemen und hybriden Microsoft 365-Mandanten bietet ideale Voraussetzungen für eine Sicherheitslücke. Sofortmaßnahmen zur Eindämmung von VoidProxyPriorität: Aktivieren Sie FIDO2-Passwörter für alle Konten, auch für private. Blockieren Sie anschließend riskante Domänen im ausgehenden Proxy und deaktivieren Sie den IMAP- und POP-Zugriff für Outlook oder Gmail. Erzwingen Sie unter Windows bedingtes Single Sign-On mit Echtzeit-Fixes; verlangen Sie unter Android, dass Unternehmenslinks in einem verwalteten Browser geöffnet werden. Teams sollten außerdem die Erstellung verdächtiger Weiterleitungsregeln überwachen: Dies ist oft der erste Schritt nach einem Einbruch. Schließlich sollten Sie Sitzungstoken beim geringsten Alarm widerrufen. Google und Microsoft arbeiten an IPSIE für geräteübergreifenden Widerruf; bis dahin kann ein benutzerdefiniertes Skript die OAuth-API stündlich abfragen. Das Abwarten des Projekts würde VoidProxy mehr Zeit verschaffen. Quelle: www.theregister.com