La empresa de desarrollo de software Retool ha revelado que las cuentas de 27 de sus clientes de la nube se vieron comprometidas luego de un ataque de ingenier\u00eda social dirigido y basado en SMS.<\/p>\n
La firma con sede en San Francisco culp\u00f3 a un Funci\u00f3n de sincronizaci\u00f3n en la nube de la cuenta de Google<\/a> introducido recientemente en abril de 2023 por empeorar la infracci\u00f3n, calific\u00e1ndola de “patr\u00f3n oscuro”.<\/p>\n “El hecho de que Google Authenticator se sincronice con la nube es un nuevo vector de ataque”, dijo Snir Kodesh, jefe de ingenier\u00eda de Retool. dicho<\/a>. “Lo que hab\u00edamos implementado originalmente era autenticaci\u00f3n multifactor. Pero a trav\u00e9s de esta actualizaci\u00f3n de Google, lo que antes era autenticaci\u00f3n multifactor se hab\u00eda convertido silenciosamente (para los administradores) en autenticaci\u00f3n de factor \u00fanico”.<\/p>\n Retool dijo que el incidente, que tuvo lugar el 27 de agosto de 2023, no permiti\u00f3 el acceso no autorizado a cuentas administradas o locales. Tambi\u00e9n coincidi\u00f3 con la empresa que migraba sus inicios de sesi\u00f3n a Okta.<\/p>\n Todo comenz\u00f3 con un ataque de phishing por SMS dirigido a sus empleados, en el que los actores de la amenaza se hicieron pasar por un miembro del equipo de TI e indicaron a los destinatarios que hicieran clic en un enlace aparentemente leg\u00edtimo para abordar un problema relacionado con la n\u00f3mina.<\/p>\n Un empleado cay\u00f3 en la trampa del phishing, que lo llev\u00f3 a una p\u00e1gina de destino falsa que lo enga\u00f1\u00f3 para que entregara sus credenciales. En la siguiente etapa del ataque, los piratas inform\u00e1ticos llamaron al empleado, haci\u00e9ndose pasar nuevamente por el miembro del equipo de TI falsificando su “voz real” para obtener el c\u00f3digo de autenticaci\u00f3n multifactor (MFA).<\/p>\n “El token OTP adicional compartido durante la llamada fue fundamental, porque permiti\u00f3 al atacante agregar su propio dispositivo personal a la cuenta Okta del empleado, lo que les permiti\u00f3 producir su propio Okta MFA a partir de ese momento”, dijo Kodesh. “Esto les permiti\u00f3 tener un G Suite activo [now Google Workspace] sesi\u00f3n en ese dispositivo.”<\/p>\n El hecho de que el empleado tambi\u00e9n hubiera activado la funci\u00f3n de sincronizaci\u00f3n en la nube de Google Authenticator permiti\u00f3 a los actores de amenazas obtener acceso elevado a sus sistemas de administraci\u00f3n internos y hacerse cargo de manera efectiva de las cuentas pertenecientes a 27 clientes en la industria de la criptograf\u00eda.<\/p>\n Los atacantes finalmente cambiaron los correos electr\u00f3nicos de esos usuarios y restablecieron sus contrase\u00f1as. Fortress Trust, uno de los usuarios afectados, sufri\u00f3 el robo de cerca de 15 millones de d\u00f3lares en criptomonedas como resultado del hack, CoinDesk reportado<\/a>.<\/p>\n “Porque el control de la cuenta de Okta llev\u00f3 al control de la cuenta de Google, lo que llev\u00f3 al control de todas las OTP almacenadas en Google Authenticator”, se\u00f1al\u00f3 Kodesh.<\/p>\n En todo caso, el sofisticado ataque muestra que la sincronizaci\u00f3n de c\u00f3digos de un solo uso con la nube puede romper el factor “algo que el usuario tiene”, lo que requiere que los usuarios conf\u00eden en claves de seguridad o claves de acceso de hardware compatibles con FIDO2 para derrotar los ataques de phishing.<\/p>\n Si bien no se revel\u00f3 la identidad exacta de los piratas inform\u00e1ticos, el modus operandi muestra similitudes con el de un actor de amenazas con motivaci\u00f3n financiera rastreado como Scattered Spider (tambi\u00e9n conocido como UNC3944), conocido por sus sofisticadas t\u00e1cticas de phishing.<\/p>\n La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna<\/p>\n <\/a><\/p>\n Sum\u00e9rgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qu\u00e9 la identidad es el nuevo punto final. Asegura tu lugar ahora.<\/p>\n Potencia tus habilidades<\/a><\/section>\n “Basado en el an\u00e1lisis de dominios de phishing sospechosos UNC3944, es plausible que los actores de amenazas hayan utilizado, en algunos casos, el acceso a los entornos de las v\u00edctimas para obtener informaci\u00f3n sobre los sistemas internos y hayan aprovechado esa informaci\u00f3n para facilitar campa\u00f1as de phishing m\u00e1s personalizadas”, revel\u00f3 Mandiant la semana pasada. .<\/p>\n “Por ejemplo, en algunos casos los actores de amenazas parecieron crear nuevos dominios de phishing que inclu\u00edan los nombres de los sistemas internos”.<\/p>\n El uso de deepfakes y medios sint\u00e9ticos tambi\u00e9n ha sido objeto de un debate. nuevo aviso<\/a> del gobierno de EE. UU., que advirti\u00f3 que los deepfakes de audio, video y texto pueden usarse para una amplia gama de prop\u00f3sitos maliciosos, incluidos ataques de compromiso de correo electr\u00f3nico empresarial (BEC) y estafas con criptomonedas.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n