A empresa de desenvolvimento de software Retool revelou que as contas de 27 de seus clientes em nuvem foram comprometidas após um ataque de engenharia social direcionado e baseado em SMS.
A empresa com sede em São Francisco culpou um recurso de sincronização em nuvem da Conta do Google, introduzido recentemente em abril de 2023, por piorar a violação, chamando-o de “padrão obscuro”.
“O fato do Google Authenticator sincronizar com a nuvem, o transformou em um novo vetor de ataque”, disse Snir Kodesh, chefe de engenharia da Retool. "O que implementamos originalmente foi a autenticação multifator. Mas, por meio desta atualização do Google, o que antes era uma autenticação multifator silenciosamente (para os administradores) tornou-se uma autenticação de fator único."
Retool disse que o incidente, ocorrido em 27 de agosto de 2023, não permitiu acesso não autorizado a contas locais ou gerenciadas. Também coincidiu com a migração de seus logins para o Okta pela empresa.
Tudo começou com um ataque de phishing por SMS dirigido aos seus funcionários, no qual os agentes da ameaça se disfarçaram como membros da equipa de TI e instruíram os destinatários a clicar num link aparentemente legítimo para resolver um problema relacionado com a folha de pagamento.
Um funcionário caiu na armadilha de phishing, que o levou a uma página falsa para que entregassem suas credenciais. Na próxima etapa do ataque, os hackers chamaram o funcionário, novamente se passando por pessoa da equipe de TI, falsificando sua “voz real” para obter o código de autenticação multifator (MFA).
“O token OTP adicional compartilhado durante a chamada foi crítico, porque permitiu ao invasor adicionar seu próprio dispositivo pessoal à conta Okta do funcionário, o que lhes permitiu produzir seu próprio Okta MFA daquele ponto em diante”, disse Kodesh. "Isso permitiu que eles tivessem uma sessão ativa do G Suite [agora Google Workspace] naquele dispositivo."
O fato do funcionário também ter ativado o recurso de sincronização em nuvem do Google Authenticator permitiu que os hackers obtivessem acesso elevado aos seus sistemas administrativos internos e assumissem efetivamente o controle das contas pertencentes a 27 clientes da indústria de criptografia.
Os invasores finalmente alteraram os e-mails desses usuários e redefiniram suas senhas. O Fortress Trust, um dos usuários afetados, viu cerca de US$ 15 milhões em criptomoedas roubadas como resultado do hack, informou ao CoinDesk.
“Porque o controle da conta Okta levou ao controle da conta do Google, o que levou ao controle de todos os OTPs armazenados no Google Authenticator”, destacou Kodesh.
Na verdade, o ataque sofisticado mostra que a sincronização de códigos únicos com a nuvem pode quebrar o fator “algo que o usuário tem”, exigindo que os usuários confiem em chaves de segurança de hardware compatíveis com FIDO2 ou senhas para driblar ataques de phishing.
Embora a identidade exata dos hackers não tenha sido divulgada, o modus operandi apresenta semelhanças com o de um hacker com motivação financeira identificado como Scattered Spider (também conhecido como UNC3944), conhecido por suas sofisticadas táticas de phishing.
“Com base na análise de domínios suspeitos de phishing UNC3944, é plausível que os hackers tenham, em alguns casos, usado o acesso aos ambientes das vítimas para obter informações sobre sistemas internos e aproveitado essas informações para facilitar campanhas de phishing mais personalizadas”, revelou Mandiant na semana passada.
“Por exemplo, em alguns casos, os agentes da ameaça pareciam criar novos domínios de phishing que incluíam nomes de sistemas internos”.
O uso de deepfakes e mídia sintética também foi objeto de um novo comunicado do governo dos EUA, que alertou que deepfakes de áudio, vídeo e texto podem ser usados para uma ampla gama de fins maliciosos, incluindo ataques de comprometimento de e-mail comercial (BEC) e golpes em criptomoeda.
Comments