0ktapus Phishing Kit

Los ciberdelincuentes han logrado vulnerar más de 130 organizaciones como parte de una serie de ciberataques. Las operaciones delictivas comienzan con una campaña de phishing generalizada y bien diseñada que utiliza un kit de phishing llamado '0ktapus'. Según un informe de investigadores de seguridad, los actores de amenazas pudieron recopilar casi 10,000 credenciales de inicio de sesión en solo un par de meses. Se cree que la operación estuvo activa al menos desde marzo de 2022. El objetivo de la campaña 0ktapus parece haber sido el robo de las credenciales de identidad de Okta y los códigos 2FA (autorización de dos factores). Con los datos confidenciales obtenidos, los ciberdelincuentes pretendían realizar operaciones posteriores, como ataques a la cadena de suministro.

Según el informe, el kit de phishing 0ktapus se aprovechó contra empresas de múltiples sectores industriales, incluidos finanzas, criptografía, tecnología, reclutamiento, telecomunicaciones y muchos más. Algunas de las empresas objetivo son AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy y otras.

Los ataques comienzan con mensajes SMS de señuelo que contienen un enlace a una página de phishing. El sitio web se parece mucho a la página de inicio de sesión legítima de Okta y solicita a los usuarios que proporcionen sus credenciales de cuenta y códigos 2FA. Okta es una plataforma IDaaS (identidad como servicio), lo que esencialmente significa que los empleados pueden usar una sola cuenta de inicio de sesión y credenciales para acceder a todos los activos de software que necesitan dentro de su empresa. El sitio falso extrajo las credenciales ingresadas y los códigos 2FA y los transmitió a una cuenta de Telegram controlada por los piratas informáticos.

Naturalmente, comprometer las credenciales de Okta de los empleados objetivo permitiría a los atacantes realizar una amplia gama de acciones nefastas dentro de las organizaciones violadas. Y lo hicieron, ya que los actores de amenazas obtuvieron acceso a VPN corporativas, redes, sistemas internos de atención al cliente, etc. Los ciberdelincuentes explotaron los datos recopilados de los clientes para llevar a cabo ataques en la cadena de suministro dirigidos a los clientes de Signal y DigitalOcean.

La campaña de phishing de 0ktapus también ha provocado violaciones de datos en organizaciones importantes, como Twilio, Klaviyo, MailChimp y un intento de ataque contra Cloudflare. Hasta ahora, los investigadores han identificado 169 dominios de phishing únicos que los actores de amenazas crearon como parte de la operación 0ktapus. Las páginas fabricadas se diseñaron para parecerse a la temática adecuada de cada empresa objetivo y, a primera vista, parecerían ser los portales legítimos utilizados por las víctimas a diario. Como parte del ataque, los actores de la amenaza han logrado recopilar %6$s1 credenciales de los empleados de 136 empresas, 3129 registros con correos electrónicos y un total de 5441 registros que contienen códigos MFA.