Oktapus: attacco phishing contro 130 aziende

Oktapus: attacco phishing contro 130 aziende

Oktapus è una campagna di phishing che ha permesso di rubare oltre 9.900 credenziali di login e oltre 5.500 codici di autenticazione in due fattori.
Oktapus è una campagna di phishing che ha permesso di rubare oltre 9.900 credenziali di login e oltre 5.500 codici di autenticazione in due fattori.

I ricercatori di Group-IB hanno scoperto che i recenti attacchi phishing contro Twilio, Cloudflare e Signal erano parte di una massiccia campagna che ha interessato 9.931 account di oltre 130 aziende. Alla campagna è stato assegnato il nome Oktapus, in quanto i cybercriminali hanno sfruttato la notorietà di Okta, società californiana che fornisce servizi di gestione degli accessi e delle identità.

Oktapus: sofisticata campagna di phishing

Gli esperti di Group-IB hanno scoperto che la campagna Oktapus è stata avviata a marzo 2022. Il principale obiettivo dei cybercriminali era quello di ottenere le credenziali Okta e i codici dell’autenticazione in due fattori (2FA) dai dipendenti delle aziende. Questi ultimi hanno ricevuto SMS con link a siti di phishing che imitavano la pagina di login di Okta.

Non è noto come i cybercriminali hanno ottenuto i numeri di telefono (forse tramite un attacco contro gli operatori di telecomunicazioni). Per ingannare gli utenti sono state utilizzate keyword specifiche nei nomi di dominio, come sso, vpn, okta, mfa e help. Le credenziali di login e i codici 2FA venivano inviati ad un canale Telegram privato. La campagna Oktapus ha permesso di rubare 9.931 credenziali e 5.541 codici 2FA di 136 organizzazioni, la maggioranza delle quali si trovano negli Stati Uniti (17 in Italia).

Al momento non è noto se le credenziali di login sono state sfruttate per accedere ai sistemi interni delle aziende e rubare dati sensibili o installare malware. Group-IB consiglia di utilizzare chiavi hardware per l’autenticazione multi-fattore, come Yubikey.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Group-IB
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 26 ago 2022
Link copiato negli appunti