Kit de phishing 0ktapus implantado em campanha massiva

Uma campanha de phishing em grande escala que foi executada recentemente afetou mais de uma centena de organizações e empresas. A ferramenta usada tem o mesmo nome do agente da ameaça por trás da campanha de phishing - 0ktapus.

Estima-se que a campanha tenha começado em março de 2022 e se estendeu por meses. Quase todas as entidades visadas na campanha utilizaram a plataforma Okta como plataforma de gestão de identidade, razão pela qual a campanha foi apelidada de 0ktapus.

Credenciais e códigos de autenticação multifator interceptados e roubados no ataque foram usados posteriormente para obter acesso ilegal às redes das vítimas por meio de VPNs e dispositivos que fornecem acesso remoto.

A lista de vítimas é tão impressionante quanto extensa e inclui nomes como T-Mobile, Slack, AT&T Mobile, CoinBase, Epic Games, Microsoft, Best Buy e Twitter.

O ataque foi realizado usando mensagens SMS maliciosas. Os textos maliciosos continham um link para um portal de phishing, manipulado para se parecer com uma página de login legítima do Okta. As vítimas que morderam a isca tiveram que inserir suas credenciais de login e seus códigos de autenticação multifator no formulário de phishing. A campanha foi executada usando cerca de 170 domínios operados pela 0ktapus.

Uma vez roubadas, as credenciais de login eram encaminhadas para um canal do Telegram controlado pelos invasores. Quase 10 mil sequências de credenciais de usuários foram roubadas no ataque, juntamente com mais de 3 mil e-mails.