Los investigadores del Grupo IB han informado sobre una campaña masiva de phishing que comprometió 9,931 credenciales de usuarios en al menos 130 empresas.
Esta campaña de phishing recibió el nombre de «Oktapus» y se descubrió que el ataque se dirigió principalmente a empleados de los clientes de Okta, una empresa con sede en California que proporciona servicios de acceso y gestión de identidades.
¿Cómo sucedió el ataque de Phishing?
Estos empleados recibieron mensajes de texto con enlaces a sitios de phishing que suplantaban la página de autenticación de su empresa, para robarse sus credenciales de inicio de sesión y 5,541 códigos de autenticación multifactorial.
Según la información compartida por Grupo IB, se detectaron 169 dominios únicos involucrados en esta campaña de phishing y todos fueron utilizados para atacar organizaciones en múltiples industrias de Estados Unidos y Canadá.
Ahora bien, engañar a los empleados fue muy sencillo porque los sitios de phishing lucían muy similares a las páginas de autenticación reales. Así, les hicieron creer fácilmente que estaban participando en un procedimiento de seguridad normal para poder acceder a su información confidencial.
Después se detectó que la información introducida por los empleados se dirigió en secreto a una cuenta de Telegram controlada por los hackers. A partir de ahí, se utilizó la información de los empleados para robar los datos de las empresas donde trabajaban y orquestaron ataques a sus cadenas de suministros.
Atacantes sin experiencia pero con gran alcance
Por otro lado, Grupo IB también descubrió que los atacantes no tenían experiencia porque utilizaron un kit de phishing mal configurado y métodos de baja calidad. Los investigadores dicen que estos kits de phishing se consiguen fácilmente en la web oscura a precios muy bajos.
Sin embargo, esta situación no determinó el alcance del ataque, que logró escalar a un nivel masivo hasta llegar a empresas como Microsoft, Twitter, AT&T, Verizon Wireless, Coinbase, Best Buy, T-Mobile, Riot Games y Epic Games.
Actualmente se desconoce si las credenciales de inicio de sesión han sido utilizadas para instalar algún tipo de malware. Grupo IB recomienda utilizar claves de hardware para la autenticación multifactorial, tipo Yubikey.
