Campaña de phishing dirigida a cientos de empresas, incluidas DoorDash y Signal

Fotomay / Shutterstock.com

Los investigadores de seguridad están investigando un ataque de phishing a gran escala dirigido a más de 130 empresas, incluidas instituciones financieras, servicios de mensajería y operadores de telecomunicaciones. El alcance de esta campaña de piratería, denominada "0ktapus", puede tardar varios años en desentrañarse por completo.

Para mayor claridad, esta campaña de phishing no tiene nada que ver con la reciente violación de datos de LastPass. Pero está relacionado con los ataques de Twilio y DoorDash que se informaron el 8 y el 25 de agosto.

Índice de contenidos
  1. 0ktapus robó casi 10,000 credenciales de inicio de sesión
  2. No sabemos la razón detrás de estos ataques
  3. Los investigadores de seguridad pueden haber identificado a un hacker
  4. ¿Qué debe hacer?

0ktapus robó casi 10,000 credenciales de inicio de sesión

La campaña de phishing de 0ktapus se enfoca en las principales corporaciones de EE. UU., menos algunos valores atípicos basados ​​en otros países del mundo. Y, sorprendentemente, la lista de objetivos de 0ktapus incluye a Microsoft, AT&T, Verizon, Coinbase y Twitter; nuevamente, estas empresas son objetivosy no sabemos si fueron pirateados con éxito.

A partir del 26 de agosto, Twilio y DoorDash son las únicas empresas importantes que han anunciado una violación de datos de 0ktapus. Ambas compañías dicen que los piratas informáticos accedieron a los datos de los usuarios, aunque Twilio dice que las credenciales de inicio de sesión son seguras. DoorDash advierte que a un pequeño grupo de clientes les robaron su información de inicio de sesión y pago.

Un informe de Cloudflare explica cómo funciona el esquema 0ktapus. Básicamente, se envían mensajes de texto "automatizados" a una tonelada de empleados de empresas objetivo (incluidos los ex empleados) advirtiendo que su información de inicio de sesión ha caducado. Un enlace incrustado en los mensajes de texto conduce a una versión falsa del sitio web de su empleador, lo que solicita al usuario que actualice su contraseña.

Todas las empresas a las que se dirige esta campaña utilizan los servicios de gestión de acceso e identidad de Okta. Y todos protegen las cuentas de los empleados mediante la autenticación de dos factores (2FA). Si un dispositivo desconocido intenta iniciar sesión en la cuenta de un empleado, el empleado recibe un código de verificación en su teléfono.

Entonces, las páginas web de 0ktapus imitan el sistema de identificación de Okta. Cuando un empleado escribe su nombre de usuario y contraseña en una página web de 0ktapus, se reenvía automáticamente a un canal secreto de Telegram. Los piratas informáticos toman esta información e intentan iniciar sesión en la cuenta de un empleado, lo que activa un proceso de verificación 2FA. Se le pide a la víctima que comparta un código de verificación 2FA de su teléfono, lo que otorga a los piratas informáticos acceso al backend de una corporación.

No sabemos la razón detrás de estos ataques

Un laboratorio de delitos cibernéticos lleno de computadoras
www.rawpixel.com/Shutterstock.com

Esta campaña de phishing tiene una narrativa relativamente clara. Group-IB informa que 0ktapus inicialmente apuntó a las empresas de telecomunicaciones, que pueden haber proporcionado los números de teléfono para intentos posteriores de phishing 2FA.

La mayoría de estos intentos de phishing estaban dirigidos a empleados corporativos. En teoría, el grupo detrás de 0ktapus podría haber robado cualquier cosa de las corporaciones, aunque los informes actuales sugieren que el grupo estaba detrás de los datos de los clientes. Esta información podría usarse en futuros ataques contra empresas o individuos, pero desafortunadamente, no estamos seguros de qué obtuvo el grupo 0ktapus.

Y aquí es donde las cosas se ponen un poco frustrantes; la campaña de 0ktapus fue un poco desordenada. Los investigadores de Group-IB lo llaman "aficionado", y señalan que el grupo 0ktapus no pudo configurar correctamente su kit de phishing.

Como mencionamos anteriormente, 0ktapus engañó a las personas para que compartieran códigos de verificación 2FA (y datos de inicio de sesión) con piratas informáticos. Pero estos códigos de verificación caducan después de unos minutos, por lo que los piratas informáticos no pueden acceder a una cuenta si no son lo suficientemente rápidos. Y evidentemente, el grupo 0ktapus se sentó frente a sus computadoras todo el día para a mano escriba códigos 2FA, en lugar de usar un bot para ingresar información automáticamente y secuestrar cuentas.

Además, las víctimas de este esquema de phishing fueron obligadas (por los dominios de phishing) a descargar una versión auténtica de AnyDesk. Ya sabes, un software de escritorio remoto para PC. Este software es completamente inútil cuando se dirige a personas a través de mensajes de texto.

Estamos frustrados de que las empresas cayeron en un esquema de phishing "aficionado". Especialmente uno con un rastro de papel tan claro.

Los investigadores de seguridad pueden haber identificado a un hacker

una imagen de "Sujeto X" Cuenta de Telegram, que usa una foto de perfil de Kermit the Frog con una capa.
Grupo-IB

Los investigadores de Group-IB han descubierto 169 dominios únicos asociados con 0ktapus. La mayoría de estos dominios son copias apenas disimuladas de sitios web corporativos y usan URL como http://att-mfa.com/. (No visite esta URL, pero tenga en cuenta que usa HTTP en lugar de HTTPS, una señal obvia de phishing).

Group-IB no necesitaba ir a la caza del ganso para encontrar estos dominios. El grupo detrás de 0ktapus reutilizó las mismas fuentes, archivos de imagen y scripts únicos en sus sitios web falsos. Una vez que descubre un solo dominio 0ktapus, encontrar el resto es pan comido.

Más importante aún, Group-IB analizó el kit de phishing 0ktapus para encontrar su canal Telegram asociado. Y un usuario de este canal, un programador de 22 años apodado “Sujeto X”, fue rastreado e identificado. Los comentarios que dejó el “Sujeto X” en otros grupos de Telegram revelaron su cuenta de Twitter y su supuesta ubicación.

A pesar del relativo éxito de 0ktapus, es claramente una operación amateur. Esa es una gran noticia para las autoridades, pero también es una señal de que las corporaciones no se toman la seguridad en serio.

¿Qué debe hacer?

Llave de seguridad Yubico FIDO C NFC
Yubico

Todavía no sabemos lo suficiente sobre la campaña 0ktapus. Presumiblemente, varias empresas deben presentarse y anunciar que fueron pirateadas. Dada la amplitud de este esquema de phishing, podrían pasar años hasta que todos los detalles salgan a la luz.

Dicho esto, solo podemos darte los consejos habituales:

  1. Inspeccione cualquier URL que se envíe por correo electrónico o mensaje de texto.
  2. No interactúes con sitios web que usan HTTP en lugar de HTTPS.
  3. Si alguien le envía una URL o solicitud relacionada con el trabajo, verifique que sea auténtica con su empleador.
  4. Habilite la autenticación de dos factores cuando sea posible.
  5. Use un administrador de contraseñas para generar credenciales de inicio de sesión únicas para cada sitio web.
  6. Si su trabajo involucra datos confidenciales, pregunte al equipo de seguridad de su empresa acerca de las soluciones FIDO2, como YubiKey.
  7. Agregue una alerta de fraude a su informe de crédito para reducir el impacto financiero del robo de identidad.

Estos pasos mejorarán significativamente su seguridad. También se asegurarán de que, en caso de una violación de datos, pueda responder rápidamente y (con suerte) protegerse.

Una vez más, esta es una historia en desarrollo. Actualizaremos este artículo a medida que obtengamos nueva información sobre la campaña 0ktapus. Para obtener noticias tecnológicas actualizadas, únase a nuestro boletín gratuito.

Descubre más contenido

Subir Change privacy settings