La popular plataforma de intercambio de criptomonedas Coinbase reveló que experimentó un ataque de ciberseguridad dirigido a sus empleados.
La empresa dicho sus «controles cibernéticos impidieron que el atacante obtuviera acceso directo al sistema y evitaron cualquier pérdida de fondos o compromiso de la información del cliente».
El incidente, que tuvo lugar el 5 de febrero de 2023, resultó en la exposición de una «cantidad limitada de datos» de su directorio, incluidos los nombres de los empleados, las direcciones de correo electrónico y algunos números de teléfono.
Como parte del ataque, varios empleados fueron objeto de una campaña de phishing por SMS instándolos a iniciar sesión en las cuentas de su empresa para leer un mensaje importante.
Se dice que un empleado cayó en la estafa, que ingresó su nombre de usuario y contraseña en una página de inicio de sesión falsa creada por los actores de amenazas para recolectar las credenciales.
«Después de ‘iniciar sesión’, se le solicita al empleado que ignore el mensaje y se le agradece por cumplir», dijo la compañía. «Lo que sucedió después fue que el atacante […] Hizo repetidos intentos de obtener acceso remoto a Coinbase».
Estos intentos de iniciar sesión en los sistemas utilizando las credenciales capturadas no tuvieron éxito debido a las protecciones de autenticación de múltiples factores que se habilitaron para la cuenta.
Sin inmutarse, el actor de amenazas llamó al empleado que decía ser del equipo corporativo de Tecnología de la Información (TI) de Coinbase y le indicó que iniciara sesión en su estación de trabajo y siguiera un conjunto de instrucciones.
«Eso comenzó un ir y venir entre el atacante y un empleado cada vez más sospechoso», explicó Coinbase. «A medida que avanzaba la conversación, las solicitudes se volvieron cada vez más sospechosas».
La compañía dijo que fue alertada dentro de los primeros 10 minutos del ataque y que sus respondedores de incidentes se comunicaron con la víctima para preguntar sobre la actividad sospechosa de su cuenta, lo que llevó a la persona a cortar todas las comunicaciones con el adversario.
Coinbase no dio más detalles sobre las instrucciones exactas que el actor de amenazas le dio al empleado, pero instó a otras compañías a estar atentas a posibles intentos de instalar software de escritorio remoto como AnyDesk o ISL Online, así como una extensión legítima de Google Chrome llamada EditThisCookie.
También advirtió sobre llamadas telefónicas entrantes y mensajes de texto de proveedores específicos como Google Voice, Skype, Vonage/Nexmo y Bandwidth.
Coinbase señaló además que el ataque probablemente esté relacionado con la sofisticada campaña de phishing conocida como 0ktapus (también conocida como Scatter Swine) que apuntó a más de 130 empresas, incluidas Twilio, Cloudflare, MailChimp y Signal, entre otras, el año pasado.