La empresa de desarrollo de software Retool ha revelado que las cuentas de 27 de sus clientes de la nube se vieron comprometidas luego de un ataque de ingeniería social dirigido y basado en SMS.
La firma con sede en San Francisco culpó a un Función de sincronización en la nube de la cuenta de Google introducido recientemente en abril de 2023 por empeorar la infracción, calificándola de «patrón oscuro».
«El hecho de que Google Authenticator se sincronice con la nube es un nuevo vector de ataque», dijo Snir Kodesh, jefe de ingeniería de Retool. dicho. «Lo que habíamos implementado originalmente era autenticación multifactor. Pero a través de esta actualización de Google, lo que antes era autenticación multifactor se había convertido silenciosamente (para los administradores) en autenticación de factor único».
Retool dijo que el incidente, que tuvo lugar el 27 de agosto de 2023, no permitió el acceso no autorizado a cuentas administradas o locales. También coincidió con la empresa que migraba sus inicios de sesión a Okta.
Todo comenzó con un ataque de phishing por SMS dirigido a sus empleados, en el que los actores de la amenaza se hicieron pasar por un miembro del equipo de TI e indicaron a los destinatarios que hicieran clic en un enlace aparentemente legítimo para abordar un problema relacionado con la nómina.
Un empleado cayó en la trampa del phishing, que lo llevó a una página de destino falsa que lo engañó para que entregara sus credenciales. En la siguiente etapa del ataque, los piratas informáticos llamaron al empleado, haciéndose pasar nuevamente por el miembro del equipo de TI falsificando su «voz real» para obtener el código de autenticación multifactor (MFA).
«El token OTP adicional compartido durante la llamada fue fundamental, porque permitió al atacante agregar su propio dispositivo personal a la cuenta Okta del empleado, lo que les permitió producir su propio Okta MFA a partir de ese momento», dijo Kodesh. «Esto les permitió tener un G Suite activo [now Google Workspace] sesión en ese dispositivo.»
El hecho de que el empleado también hubiera activado la función de sincronización en la nube de Google Authenticator permitió a los actores de amenazas obtener acceso elevado a sus sistemas de administración internos y hacerse cargo de manera efectiva de las cuentas pertenecientes a 27 clientes en la industria de la criptografía.
Los atacantes finalmente cambiaron los correos electrónicos de esos usuarios y restablecieron sus contraseñas. Fortress Trust, uno de los usuarios afectados, sufrió el robo de cerca de 15 millones de dólares en criptomonedas como resultado del hack, CoinDesk reportado.
«Porque el control de la cuenta de Okta llevó al control de la cuenta de Google, lo que llevó al control de todas las OTP almacenadas en Google Authenticator», señaló Kodesh.
En todo caso, el sofisticado ataque muestra que la sincronización de códigos de un solo uso con la nube puede romper el factor «algo que el usuario tiene», lo que requiere que los usuarios confíen en claves de seguridad o claves de acceso de hardware compatibles con FIDO2 para derrotar los ataques de phishing.
Si bien no se reveló la identidad exacta de los piratas informáticos, el modus operandi muestra similitudes con el de un actor de amenazas con motivación financiera rastreado como Scattered Spider (también conocido como UNC3944), conocido por sus sofisticadas tácticas de phishing.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
«Basado en el análisis de dominios de phishing sospechosos UNC3944, es plausible que los actores de amenazas hayan utilizado, en algunos casos, el acceso a los entornos de las víctimas para obtener información sobre los sistemas internos y hayan aprovechado esa información para facilitar campañas de phishing más personalizadas», reveló Mandiant la semana pasada. .
«Por ejemplo, en algunos casos los actores de amenazas parecieron crear nuevos dominios de phishing que incluían los nombres de los sistemas internos».
El uso de deepfakes y medios sintéticos también ha sido objeto de un debate. nuevo aviso del gobierno de EE. UU., que advirtió que los deepfakes de audio, video y texto pueden usarse para una amplia gama de propósitos maliciosos, incluidos ataques de compromiso de correo electrónico empresarial (BEC) y estafas con criptomonedas.