Kit de phishing 0ktapus implementado en campaña masiva

Una campaña de phishing a gran escala que se ejecutó recientemente afectó a más de cien organizaciones y empresas. La herramienta utilizada lleva el mismo nombre que el actor de amenazas detrás de la campaña de phishing: 0ktapus.

Se estima que la campaña comenzó en marzo de 2022 y se extendió durante meses. Casi todas las entidades objetivo de la campaña utilizaron la plataforma Okta como su plataforma de gestión de identidad preferida, razón por la cual la campaña se denominó 0ktapus.

Las credenciales y los códigos de autenticación multifactor interceptados y robados en el ataque se usaron más tarde para obtener acceso ilegal a las redes de las víctimas a través de VPN y dispositivos que brindan acceso remoto.

La lista de víctimas es tan impresionante como larga e incluye nombres como T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy y Twitter.

El ataque se llevó a cabo utilizando mensajes SMS maliciosos. Los textos maliciosos contenían un enlace a un portal de phishing, manipulado para parecerse a una página de inicio de sesión legítima de Okta. Las víctimas que mordieron el anzuelo tuvieron que ingresar tanto sus credenciales de inicio de sesión como sus códigos de autenticación de múltiples factores en el formulario de phishing. La campaña se ejecutó utilizando casi 170 dominios operados por 0ktapus.

Una vez robadas, las credenciales de inicio de sesión se reenviaron a un canal de Telegram controlado por los atacantes. En el ataque se robaron casi 10 000 cadenas de credenciales de usuario, junto con más de 3 000 correos electrónicos.