0ktapus Phishing Kit déployé dans une campagne massive
Une campagne de phishing à grande échelle qui a été exécutée récemment a touché plus d'une centaine d'organisations et d'entreprises. L'outil utilisé porte le même nom que l'acteur menaçant derrière la campagne de phishing - 0ktapus.
On estime que la campagne a commencé dès mars 2022 et s'est étendue sur des mois. Presque toutes les entités ciblées dans la campagne ont utilisé la plate-forme Okta comme plate-forme de choix pour la gestion des identités, c'est pourquoi la campagne a été baptisée 0ktapus.
Les informations d'identification et les codes d'authentification multifacteur interceptés et volés lors de l'attaque ont ensuite été utilisés pour obtenir un accès illégal aux réseaux des victimes via des VPN et des appareils fournissant un accès à distance.
La liste des victimes est aussi impressionnante que longue et comprend des noms tels que T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy et Twitter.
L'attaque a été déclenchée à l'aide de messages SMS malveillants. Les textes malveillants contenaient un lien vers un portail de phishing, trafiqué pour ressembler à une page de connexion Okta légitime. Les victimes qui ont mordu à l'appât devaient entrer à la fois leurs identifiants de connexion et leurs codes d'authentification multifacteur dans le formulaire de phishing. La campagne a été exécutée en utilisant près de 170 domaines qui étaient exploités par 0ktapus.
Une fois volées, les informations de connexion ont été transmises à un canal Telegram contrôlé par les attaquants. Près de 10 000 chaînes d'informations d'identification d'utilisateurs ont été volées lors de l'attaque, ainsi que plus de 3 000 e-mails.