Zestaw phishingowy 0ktapus wdrożony w ogromnej kampanii

Przeprowadzona na dużą skalę kampania phishingowa dotknęła ostatnio ponad sto organizacji i firm. Wykorzystywane narzędzie nosi tę samą nazwę, co cyberprzestępca stojący za kampanią phishingową – 0ktapus.

Szacuje się, że kampania rozpoczęła się już w marcu 2022 roku i trwała kilka miesięcy. Prawie wszystkie podmioty, których dotyczyła kampania, korzystały z platformy Okta jako platformy do zarządzania tożsamością, dlatego też kampania została nazwana 0ktapus.

Dane uwierzytelniające i kody uwierzytelniania wieloskładnikowego przechwycone i skradzione podczas ataku zostały później wykorzystane do uzyskania nielegalnego dostępu do sieci ofiar za pośrednictwem sieci VPN i urządzeń zapewniających zdalny dostęp.

Lista ofiar jest równie imponująca, co długa i obejmuje nazwy takie jak T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy i Twitter.

Atak został przeprowadzony przy użyciu złośliwych wiadomości SMS. Szkodliwe teksty zawierały odsyłacz do portalu phishingowego, sfałszowanego tak, aby przypominał legalną stronę logowania Okta. Ofiary, które złapały przynętę, musiały wprowadzić w formularzu phishingowym zarówno dane logowania, jak i kody wieloskładnikowego uwierzytelniania. Kampania została zrealizowana na blisko 170 domenach obsługiwanych przez 0ktapus.

Po kradzieży dane logowania były przekazywane do kanału Telegram kontrolowanego przez atakujących. Podczas ataku skradziono prawie 10 tys. ciągów uwierzytelniających użytkowników oraz ponad 3 tys. e-maili.