新的VoidProxy PhaaS服务攻击微软365和谷歌账户

近几个月来，安全团队发现，利用一个名为VoidProxy的新发现的“钓鱼即服务”（PhaaS）平台进行的复杂钓鱼活动显著增加。

这项活动于2025年8月首次被发现，它结合了多种反分析技术和中间人（AitM）攻击能力，以前所未有的隐蔽性针对微软365和谷歌账户。

早期的邮件诱饵源自被攻陷的合法电子邮件服务提供商（ESP）账户，目的是规避垃圾邮件过滤器，其中包含通过URL缩短服务进行的多次重定向。

这展示了从TinyURL链接到第一阶段钓鱼域名的重定向链。

Okta 分析师通过 FastPass 注册异常引发的警报确定了初始基础设施；受防钓鱼验证器保护的用户收到了异常登录尝试的警告。

VoidProxy框架利用托管在Cloudflare后的一次性低信誉域名（.icu、.xyz、.top）来隐藏真实服务器IP，阻碍移除操作。

在加载任何页面之前，受害者必须通过Cloudflare的验证码（CAPTCHA）验证以确认是人类操作（图2）。自动化扫描器或安全工具会收到一个通用的欢迎页面，这实际上使大多数分析平台失效。

一旦受害者通过验证，浏览器就会与负责过滤流量并加载相应钓鱼门户网站的Cloudflare Worker服务进行通信。

这些门户网站精心模仿微软和谷歌的合法登录页面，包括支持通过Okta进行联合单点登录（SSO）。

非联合用户被直接代理到微软或谷歌的服务器，而联合用户会遇到模仿Okta的服务提供商发起的单点登录流程的第二阶段页面，这使得攻击者能够窃取多因素认证代码和会话令牌。

VoidProxy的AitM引擎的精妙之处在于其能够实时拦截会话Cookie和会话令牌。

当合法服务返回会话 cookie 时，代理会将副本泄露到攻击者的管理面板，从而立即授予对受 compromise 账户的访问权限。

后端基础设施利用动态DNS通配符服务（sslip.io、nip.io）来托管临时的AitM代理引擎和面向客户的管理面板。

虽然VoidProxy管理面板仪表板显示，威胁行为者可以配置活动、监控受害者并收集被盗凭证。

感染机制与规避

VoidProxy的感染链始于精心设计的钓鱼邮件，这些邮件滥用了ESP的信誉。

多层重定向链不仅能规避基于URL的检测，还能确保每个一次性域名在被弃用前仅被短暂使用。

Cloudflare Worker 守门程序将合法目标与分析工具区分开来，而验证码挑战则进一步阻碍了自动化分析。

在幕后，AitM代理服务器集成了强大的会话劫持功能：在通过微软、谷歌或Okta验证凭据后，它会将会话Cookie转发给攻击者，同时为用户保持活跃连接。

以下是一个代理代码片段示例，展示了该引擎如何捕获和记录会话令牌：-

fetch(targetUrl, {
  method: 'POST',
  headers: request.headers,
  body: request.body
}).then(response => {
  const sessionCookie = response.headers.get('set-cookie');
  logStolenCookie(sessionCookie);
  return response;
});

这种无缝转接确保受害者不会察觉到自己已被入侵，使攻击者能够在企业环境中实施商务电子邮件 compromise（BEC）、数据泄露和横向移动。

了解VoidProxy的机制对于那些寻求实施有针对性的检测规则并加强抗钓鱼认证的防御者来说至关重要。