A empresa de desenvolvimento de software Retool divulgou que as contas de 27 de seus clientes na nuvem foram comprometidas após um ataque direcionado e por engenharia social baseado em SMS.
A empresa com sede em São Francisco culpou um recurso de sincronização em nuvem da Conta Google, introduzido recentemente em abril de 2023, por piorar a brecha, chamando-o de "padrão obscuro".
"O fato do Google Authenticator sincronizar com a nuvem é um novo vetor de ataque", disse Snir Kodesh, chefe de engenharia da Retool.
"O que tínhamos originalmente implementado era a autenticação de vários fatores.
Mas por meio dessa atualização do Google, o que antes era autenticação de múltiplos fatores se tornou silenciosamente (para os administradores) autenticação de fator único.
A Retool disse que o incidente, ocorrido em 27 de agosto de 2023, não permitiu o acesso não autorizado a contas no local ou gerenciadas.
Ele também coincidiu com a empresa migrando seus logins para o Okta.
Tudo começou com um ataque de phishing por SMS direcionado a seus funcionários, no qual os atores da ameaça se disfarçaram de um membro da equipe de TI e instruíram os destinatários a clicar em um link aparentemente legítimo para resolver um problema relacionado à folha de pagamento.
Um funcionário caiu na armadilha do phishing, o que os levou a uma página de destino falsa que os enganou a entregar suas credenciais.
Na próxima fase do ataque, os hackers ligaram para o funcionário, novamente se passando por uma pessoa da equipe de TI, falsificando sua "voz real" para obter o código de autenticação de múltiplos fatores (MFA).
"O token OTP adicional compartilhado durante a chamada foi crítico, porque permitiu ao invasor adicionar seu próprio dispositivo pessoal à conta Okta do funcionário, o que permitiu a eles produzirem seu próprio Okta MFA a partir daquele ponto", disse Kodesh.
"Isso os habilitou a ter uma sessão ativa do G Suite [agora Google Workspace] naquele dispositivo."
O fato de o funcionário também ter ativado o recurso de sincronização em nuvem do Google Authenticator permitiu aos atores da ameaça obter acesso elevado a seus sistemas internos de administração e efetivamente assumir contas pertencentes a 27 clientes na indústria de criptomoedas.
Os invasores finalmente mudaram os e-mails desses usuários e redefiniram suas senhas.
A Fortress Trust, um dos usuários impactados, viu cerca de $15 milhões em criptomoedas serem roubadas como resultado do ataque, relatou a CoinDesk.
"Porque o controle da conta Okta levou ao controle da conta Google , que levou ao controle de todos os OTPs armazenados no Google Authenticator", apontou Kodesh.
Se alguma coisa, o ataque sofisticado mostra que a sincronização de códigos únicos para a nuvem pode quebrar o fator "algo que o usuário tem", necessitando que os usuários dependam de chaves de segurança de hardware compatíveis com FIDO2 ou passkeys para derrotar ataques de phishing.
Embora a identidade exata dos hackers não tenha sido divulgada, o modus operandi exibe semelhanças com o de um ator de ameaças motivado financeiramente rastreado como Scattered Spider (também conhecido como UNC3944), que é conhecido por suas táticas sofisticadas de phishing.
"Com base na análise dos domínios suspeitos de phishing da UNC3944, é plausível que os atores da ameaça tenham, em alguns casos, usado o acesso aos ambientes da vítima para obter informações sobre sistemas internos e aproveitado essas informações para facilitar campanhas de phishing mais personalizadas", divulgou a Mandiant na semana passada.
"Por exemplo, em alguns casos, os atores da ameaça pareciam criar novos domínios de phishing que incluíam os nomes dos sistemas internos."
O uso de deepfakes e mídia sintética também foi objeto de um novo alerta do governo dos EUA, que advertiu que áudio, vídeo e deepfakes de texto podem ser usados para uma variedade de propósitos maliciosos, incluindo ataques de comprometimento de e-mail comercial (BEC) e golpes de criptomoeda.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...