0ktapus Phishing Kit

Os cibercriminosos conseguiram invadir mais de 130 organizações como parte de uma série de ataques cibernéticos. As operações criminosas começam com uma campanha de phishing generalizada e bem elaborada, utilizando um kit de phishing chamado '0ktapus'. De acordo com um relatório de pesquisadores de segurança, os agentes de ameaças conseguiram coletar quase 10.000 credenciais de login em apenas alguns meses. Acredita-se que a operação esteja ativa desde pelo menos março de 2022. O objetivo da campanha 0ktapus parece ter sido o roubo de credenciais de identidade Okta e códigos 2FA (autorização de dois fatores). Com os dados confidenciais obtidos, os cibercriminosos pretendiam realizar operações subsequentes, como ataques à cadeia de suprimentos.

De acordo com o relatório, o kit de phishing 0ktapus foi aproveitado contra empresas de vários setores da indústria, incluindo finanças, criptografia, tecnologia, recrutamento, telecomunicações e muito mais. Algumas das empresas visadas são AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy e outras.

Os ataques começam com mensagens SMS de atração contendo um link para uma página de phishing. O site se parece muito com a página de login legítima do Okta e solicita que os usuários forneçam suas credenciais de conta e códigos 2FA. Okta é uma plataforma IDaaS (Identity-as-a-Service), o que significa essencialmente que os funcionários podem usar uma única conta de login e credenciais para acessar todos os ativos de software de que precisam em sua empresa. As credenciais inseridas e os códigos 2FA foram raspados pelo site falso e transmitidos para uma conta do Telegram controlada pelos hackers.

Naturalmente, comprometer as credenciais Okta dos funcionários visados permitiria que os invasores realizassem uma vasta gama de ações nefastas nas organizações violadas. E eles fizeram, com os agentes de ameaças ganhando acesso a VPNs corporativas, redes, sistemas internos de suporte ao cliente, etc. Os dados coletados do cliente foram explorados pelos cibercriminosos para realizar ataques à cadeia de suprimentos direcionados aos clientes da Signal e da DigitalOcean.

A campanha de phishing 0ktapus também levou a violações de dados em grandes organizações, tais como Twilio, Klaviyo, MailChimp e uma tentativa de ataque contra Cloudflare. Até agora, os pesquisadores identificaram 169 domínios de phishing exclusivos que os criminosos criaram como parte da operação 0ktapus. As páginas fabricadas foram projetadas para se assemelhar ao tema apropriado de cada empresa visada e, à primeira vista, parecem ser os portais legítimos usados pelas vítimas diariamente. Como parte do ataque, os criminosos conseguiram coletar 9.931 credenciais de funcionários de 136 empresas, 3.129 registros com e-mails e um total de 5.441 registros contendo códigos MFA.