Retool cai vítima de ataque de Phishing baseado em SMS afetando 27 clientes de nuvem
18 de Setembro de 2023

A empresa de desenvolvimento de software Retool divulgou que as contas de 27 de seus clientes na nuvem foram comprometidas após um ataque direcionado e por engenharia social baseado em SMS.

A empresa com sede em São Francisco culpou um recurso de sincronização em nuvem da Conta Google, introduzido recentemente em abril de 2023, por piorar a brecha, chamando-o de "padrão obscuro".

"O fato do Google Authenticator sincronizar com a nuvem é um novo vetor de ataque", disse Snir Kodesh, chefe de engenharia da Retool.

"O que tínhamos originalmente implementado era a autenticação de vários fatores.

Mas por meio dessa atualização do Google, o que antes era autenticação de múltiplos fatores se tornou silenciosamente (para os administradores) autenticação de fator único.

A Retool disse que o incidente, ocorrido em 27 de agosto de 2023, não permitiu o acesso não autorizado a contas no local ou gerenciadas.

Ele também coincidiu com a empresa migrando seus logins para o Okta.

Tudo começou com um ataque de phishing por SMS direcionado a seus funcionários, no qual os atores da ameaça se disfarçaram de um membro da equipe de TI e instruíram os destinatários a clicar em um link aparentemente legítimo para resolver um problema relacionado à folha de pagamento.

Um funcionário caiu na armadilha do phishing, o que os levou a uma página de destino falsa que os enganou a entregar suas credenciais.

Na próxima fase do ataque, os hackers ligaram para o funcionário, novamente se passando por uma pessoa da equipe de TI, falsificando sua "voz real" para obter o código de autenticação de múltiplos fatores (MFA).

"O token OTP adicional compartilhado durante a chamada foi crítico, porque permitiu ao invasor adicionar seu próprio dispositivo pessoal à conta Okta do funcionário, o que permitiu a eles produzirem seu próprio Okta MFA a partir daquele ponto", disse Kodesh.

"Isso os habilitou a ter uma sessão ativa do G Suite [agora Google Workspace] naquele dispositivo."

O fato de o funcionário também ter ativado o recurso de sincronização em nuvem do Google Authenticator permitiu aos atores da ameaça obter acesso elevado a seus sistemas internos de administração e efetivamente assumir contas pertencentes a 27 clientes na indústria de criptomoedas.

Os invasores finalmente mudaram os e-mails desses usuários e redefiniram suas senhas.

A Fortress Trust, um dos usuários impactados, viu cerca de $15 milhões em criptomoedas serem roubadas como resultado do ataque, relatou a CoinDesk.

"Porque o controle da conta Okta levou ao controle da conta Google , que levou ao controle de todos os OTPs armazenados no Google Authenticator", apontou Kodesh.

Se alguma coisa, o ataque sofisticado mostra que a sincronização de códigos únicos para a nuvem pode quebrar o fator "algo que o usuário tem", necessitando que os usuários dependam de chaves de segurança de hardware compatíveis com FIDO2 ou passkeys para derrotar ataques de phishing.

Embora a identidade exata dos hackers não tenha sido divulgada, o modus operandi exibe semelhanças com o de um ator de ameaças motivado financeiramente rastreado como Scattered Spider (também conhecido como UNC3944), que é conhecido por suas táticas sofisticadas de phishing.

"Com base na análise dos domínios suspeitos de phishing da UNC3944, é plausível que os atores da ameaça tenham, em alguns casos, usado o acesso aos ambientes da vítima para obter informações sobre sistemas internos e aproveitado essas informações para facilitar campanhas de phishing mais personalizadas", divulgou a Mandiant na semana passada.

"Por exemplo, em alguns casos, os atores da ameaça pareciam criar novos domínios de phishing que incluíam os nomes dos sistemas internos."

O uso de deepfakes e mídia sintética também foi objeto de um novo alerta do governo dos EUA, que advertiu que áudio, vídeo e deepfakes de texto podem ser usados para uma variedade de propósitos maliciosos, incluindo ataques de comprometimento de e-mail comercial (BEC) e golpes de criptomoeda.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...