Uma nova e sofisticada ameaça digital vem chamando a atenção da comunidade de segurança: o phishing VoidProxy. Trata-se de uma plataforma de phishing como serviço (PhaaS) que oferece a criminosos cibernéticos uma forma altamente eficaz de comprometer contas em Microsoft 365 e Google Workspace, dois dos ecossistemas corporativos mais utilizados do mundo.
O que torna o VoidProxy tão perigoso é sua capacidade de contornar métodos tradicionais de proteção, como a autenticação multifator (MFA) e o logon único (SSO). Utilizando ataques do tipo Adversary-in-the-Middle (AitM), os criminosos conseguem interceptar credenciais, códigos de autenticação e até mesmo cookies de sessão, permitindo acesso indevido às contas mesmo após um login aparentemente bem-sucedido.
Neste artigo, vamos detalhar como o ataque funciona, explicar por que ele representa uma ameaça de alto nível e apresentar recomendações práticas para que profissionais de TI e usuários avançados possam se proteger contra essa nova onda de ataques.
O que é o VoidProxy e por que ele é perigoso?
O VoidProxy é uma plataforma de phishing como serviço (PhaaS), um modelo que permite que criminosos aluguem ou comprem ferramentas já prontas para realizar campanhas de phishing em larga escala. Assim como no modelo de software legítimo “as a service”, os criminosos não precisam desenvolver sua própria infraestrutura — tudo é entregue de forma escalável e personalizável.
Pesquisadores da Okta Threat Intelligence identificaram que o VoidProxy é altamente evasivo e sofisticado, sendo projetado para escapar de mecanismos de detecção tradicionais.
O verdadeiro perigo, porém, está na capacidade de capturar cookies de sessão. Esses cookies validam que o usuário já passou pela autenticação, o que significa que, uma vez em posse deles, o atacante pode acessar a conta sem precisar da senha ou do código de MFA. Em termos práticos, isso neutraliza camadas de segurança consideradas essenciais.
Como funciona o ataque do VoidProxy passo a passo
Para entender a gravidade do ataque VoidProxy, é fundamental analisar sua cadeia de execução. O processo envolve várias camadas cuidadosamente planejadas para enganar tanto usuários quanto sistemas de defesa.
O e-mail inicial e os redirecionamentos
O ataque geralmente começa com e-mails enviados por serviços de marketing comprometidos, como Constant Contact ou Active Campaign. Esses serviços, ao serem explorados, dão uma aparência de legitimidade à mensagem.
Além disso, os atacantes utilizam links encurtados para mascarar os verdadeiros endereços de phishing, dificultando que a vítima ou sistemas de segurança detectem o risco de imediato.
A infraestrutura de ataque e o papel do Cloudflare
Após o clique inicial, o usuário é direcionado para páginas hospedadas em domínios de baixo custo. Para aumentar a credibilidade, os criminosos utilizam Cloudflare como proxy reverso, escondendo o servidor real por trás de uma camada legítima de infraestrutura.
O uso do desafio CAPTCHA do Cloudflare adiciona uma falsa sensação de segurança, fazendo a vítima acreditar que está em um site protegido e confiável.
A captura de credenciais e cookies com AitM
O núcleo da ameaça é o ataque Adversary-in-the-Middle (AitM). Nesse cenário, o criminoso se posiciona entre a vítima e o serviço real (Microsoft 365 ou Google), interceptando em tempo real todas as informações trocadas.
Quando a vítima insere suas credenciais e códigos de MFA, o atacante captura esses dados e, mais importante, o cookie de sessão gerado pelo login. Esse cookie é então reutilizado para acessar a conta sem que o usuário perceba.
O alvo em contas federadas com Okta
Para empresas que utilizam SSO via Okta, o ataque é ainda mais elaborado. O VoidProxy apresenta uma segunda página de phishing, que simula o fluxo de autenticação federada. Isso permite que o golpe também funcione em ambientes corporativos avançados, incluindo casos com Okta FastPass parcialmente configurado.
Por que a autenticação multifator tradicional não é suficiente?
A autenticação multifator (MFA) é há anos considerada uma das principais defesas contra phishing. No entanto, quando implementada de forma tradicional — como via SMS ou aplicativos autenticadores (TOTP) —, ela se mostra vulnerável a ataques AitM.
Isso acontece porque o código gerado pode ser interceptado e reutilizado em tempo real pelo atacante. Assim, mesmo que o usuário use MFA corretamente, sua sessão pode ser sequestrada.
A solução mais eficaz é adotar autenticação resistente a phishing, como FIDO2 ou passkeys, que vinculam o processo de login a um dispositivo específico. O Okta FastPass, por exemplo, é um modelo que elimina a dependência de códigos, dificultando a exploração por ataques intermediários.
Como se proteger da ameaça do VoidProxy e ataques AitM
A Okta recomenda medidas práticas que podem ser aplicadas por administradores e usuários avançados para mitigar os riscos do phishing VoidProxy:
- Adotar autenticação resistente a phishing: Implementar tecnologias como FIDO2/Passkeys ou Okta FastPass.
- Restringir o acesso a aplicativos a dispositivos gerenciados: Isso garante que apenas máquinas com políticas corporativas de segurança possam acessar dados críticos.
- Aplicar controles de acesso baseados em risco: Avaliar variáveis como localização, dispositivo e comportamento do usuário antes de liberar o login.
- Usar vinculação de sessão por IP em aplicativos críticos: Reduz a possibilidade de uso indevido de cookies de sessão roubados.
- Exigir reautenticação para ações administrativas: Protege contas privilegiadas mesmo que uma sessão de usuário seja comprometida.
Essas práticas devem ser vistas não como camadas opcionais, mas como parte de uma estratégia de defesa em profundidade, essencial contra ataques cada vez mais sofisticados.
Conclusão: a evolução contínua das ameaças de phishing
O phishing VoidProxy é um exemplo claro de como os ataques cibernéticos evoluem constantemente para superar as defesas tradicionais. Hoje, os criminosos não se contentam em roubar senhas — eles miram em todo o processo de autenticação, incluindo cookies de sessão e fluxos de login corporativos complexos.
Para empresas e profissionais de TI, a lição é clara: revisar políticas de segurança e modernizar métodos de autenticação não é mais opcional. Implementar soluções resistentes a phishing, restringir o acesso a dispositivos gerenciados e aplicar controles de risco pode ser a diferença entre manter um ambiente seguro e sofrer uma invasão devastadora.
A melhor defesa é antecipar-se ao inimigo, adotando práticas modernas e fortalecendo a segurança em múltiplas camadas para proteger os ativos digitais contra esta e futuras ameaças.
