L’empresa de desenvolupament de programari Retool ha informat que els comptes de 27 dels seus clients al núvol van ser compromesos arran d’un sofisticat atac d’enginyeria social basat en SMS.

La companyia, amb seu a San Francisco, va atribuir l’agreujament de la vulnerabilitat a una característica de sincronització del compte de Google que va ser introduïda recentment, l’abril del 2023, anomenant-la un “patró fosc”.

Segons Snir Kodesh, cap d’enginyeria de Retool, “El fet que l’Autenticador de Google sincronitzi amb el núvol és un nou vector d’atac. Inicialment, havíem implementat l’autenticació de múltiples factors, però mitjançant aquesta actualització de Google, el que abans era autenticació de múltiples factors ha esdevingut silenciosament (per als administradors) autenticació de factor únic.”

Retool va explicar que l’incident, que va tenir lloc el 27 d’agost de 2023, no va permetre l’accés no autoritzat als comptes interns ni als gestionats. A més, aquest incident va coincidir amb la migració de l’empresa cap a la plataforma Okta.

L’atac va començar amb un atac de phishing per SMS dirigit als empleats de Retool. En aquest atac, els actors de l’amenaça es van fer passar per membres de l’equip d’informàtica i van donar instruccions als destinataris per fer clic en un enllaç aparentment legítim per abordar una qüestió relacionada amb la nòmina.

Un empleat va caure en la trampa del phishing, el que els va portar a una pàgina de destinació falsa on van proporcionar les seves credencials. En la següent fase de l’atac, els hackers van trucar a l’empleat, tornant a suplantar la persona de l’equip d’informàtica mitjançant una tècnica de “deepfake” per imitar la “veu real” i obtenir el codi d’autenticació de múltiple factor (MFA).

Segons Kodesh, “El codi OTP addicional compartit durant la trucada era crític, ja que va permetre a l’atacant afegir el seu propi dispositiu personal al compte d’Okta de l’empleat, la qual cosa els va permetre generar el seu propi MFA d’Okta. Això els va permetre mantenir una sessió activa de G Suite [ara Google Workspace] en aquest dispositiu.”

La circumstància que l’empleat també hagués activat la característica de sincronització amb el núvol de l’Autenticador de Google va possibilitar als actors de l’amenaça aconseguir un accés elevat als sistemes interns d’administració i prendre el control dels comptes pertanyents a 27 clients de la indústria de les criptomonedes.

Finalment, els atacants van modificar les adreces de correu electrònic d’aquests usuaris i van restablir les seves contrasenyes. Segons CoinDesk, l’empresa Fortress Trust, un dels usuaris afectats, va patir pèrdues d’aproximadament 15 milions de dòlars en criptomonedes com a resultat de l’atac.

Kodesh va assenyalar que “el fet que el control del compte d’Okta porti al control del compte de Google, que a la vegada porta al control de tots els OTP emmagatzemats a l’Autenticador de Google” va ser un factor crític.

Per resumir, aquest atac sofisticat posa de manifest que la sincronització de codis d’ús únic amb el núvol pot comprometre el que l’usuari té. Això ressalta la necessitat que els usuaris confiïn en claus de seguretat de maquinari o altres mètodes de protecció resistents al phishing per garantir la seguretat dels seus comptes en línia.

Encara que la identitat exacta dels hackers no ha estat revelada, el seu modus operandi presenta semblances amb el d’un actor de l’amenaça amb ànim de lucre conegut com a Scattered Spider (també conegut com a UNC3944), que és conegut per les seves tècniques de phishing sofisticades.

Segons una anàlisi de Mandiant sobre dominis de phishing sospitosos relacionats amb UNC3944, sembla que els actors de l’amenaça han utilitzat, en alguns casos, l’accés als entorns de les víctimes per obtenir informació sobre els sistemes interns i han aprofitat aquesta informació per dur a terme campanyes de phishing més personalitzades, incloent-hi la creació de nous dominis de phishing que inclouen noms de sistemes interns.

El govern dels Estats Units ha emès una nova advertència sobre l’ús de deepfakes i mitjans sintètics. Aquesta advertència assenyala que els deepfakes d’àudio, vídeo i text poden ser usats amb intencions malicioses, com ara atacs de compromís de correu electrònic empresarial (BEC) i estafes de criptomonedes.