Los actores de amenazas detrás de la reciente ola de ataques a varias compañías tecnológicas como MailChimp, Twilio, Klaviyo, etc., habían atacado a más de cien organizaciones en su campaña, dice el equipo de Group-IB.
Al rastrear al actor de amenazas hasta alguien en los EE. UU., los investigadores señalaron todos los dominios que el pirata informático utilizó en su campaña y cómo lograron violarlos a todos. En general, notaron que 9,931 credenciales de inicio de sesión se comprometieron y se usaron para secuestrar a las empresas.
Con un kit de phishing sofisticado
Los investigadores del Grupo-IB han detalló el modus operandi de un actor de amenazas que estuvo detrás de los ataques de Twilio, Klaviyo, MailChimp y un atentado contra Cloudflare. Si bien no los nombraron como ninguno, señalaron un sofisticado kit de phishing con el nombre en código ‘0ktapus‘ en su campaña, que comenzó en marzo de este año.
Apuntan específicamente a robar las credenciales de Okta y sus códigos 2FA para futuros ataques. Para los que no lo saben, Okta es una plataforma de identidad como servicio (IDaaS) utilizada principalmente por empleados para un inicio de sesión simple para acceder a todos los activos de software de su empresa.
Comienzan enviando un SMS cuidadosamente diseñado a su objetivo, que contiene el asunto y un enlace externo para su sitio web de phishing. Estos sitios están diseñados cuidadosamente para que coincidan perfectamente con los sitios de la empresa original y parezcan una experiencia cotidiana para los objetivos.
Y cuando ingresan sus credenciales de Okta y los códigos 2FA correspondientes, estos se transmiten a un canal privado de Telegram, probablemente manejado por los actores de amenazas. Al recuperarlos, usan estos detalles para acceder a la cuenta corporativa del objetivo convertido en víctima para robar datos más confidenciales.
De esta forma, accedieron a los datos de Twilio, Klaviyo y MailChimp. E indirectamente, también han violado DigitalOcean y Signal, ya que estos son los clientes de las empresas comprometidas anteriormente. En general, el actor de amenazas ha robado 9931 credenciales de usuario de 136 empresas, 3129 registros con correos electrónicos y 5441 registros con códigos MFA en su campaña.
La mayoría de las empresas objetivo estaban en los EE. UU., con algunas notables como T-Mobile, MetroPCS, Verizon Wireless, AT&T, Slack, Twitter, Binance, KuCoin, CoinBase, Microsoft, Epic Games, Riot Games, Evernote, AT&T, HubSpot, TTEC y Best Buy.
Al rastrear la cuenta de Telegram involucrada en esta campaña, los investigadores detectaron la ubicación de este usuario, llamado “X”, en Carolina del Norte, EE. UU. Aunque tienen más información sobre el actor de amenazas para compartir, la reservaron para que trabajen las agencias de aplicación de la ley.
