0ktapus Kit di phishing distribuito in una campagna massiccia

Una campagna di phishing su larga scala che è stata eseguita di recente ha colpito oltre un centinaio di organizzazioni e aziende. Lo strumento utilizzato porta lo stesso nome dell'autore della minaccia dietro la campagna di phishing: 0ktapus.

Si stima che la campagna sia iniziata già nel marzo 2022 e si sia estesa per mesi. Quasi tutte le entità prese di mira nella campagna hanno utilizzato la piattaforma Okta come piattaforma di gestione dell'identità preferita, motivo per cui la campagna è stata soprannominata 0ktapus.

Le credenziali e i codici di autenticazione a più fattori intercettati e rubati durante l'attacco sono stati successivamente utilizzati per ottenere l'accesso illegale alle reti delle vittime tramite VPN e dispositivi che forniscono accesso remoto.

L'elenco delle vittime è tanto impressionante quanto lungo e include nomi come T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy e Twitter.

L'attacco è stato eseguito utilizzando messaggi SMS dannosi. I testi dannosi contenevano un collegamento a un portale di phishing, modificato per assomigliare a una pagina di accesso legittima di Okta. Le vittime che hanno abboccato all'esca hanno dovuto inserire sia le proprie credenziali di accesso che i codici di autenticazione a più fattori nel modulo di phishing. La campagna è stata eseguita utilizzando quasi 170 domini gestiti da 0ktapus.

Una volta rubate, le credenziali di accesso sono state inoltrate a un canale Telegram controllato dagli aggressori. Nell'attacco sono state rubate quasi 10mila stringhe di credenziali utente, insieme a oltre 3mila e-mail.