La società di sviluppo software Retool ha reso noto che gli account di 27 dei suoi clienti cloud sono stati compromessi a seguito di un attacco mirato basato sull’ingegneria sociale e gli SMS.
La società Retool con sede a San Francisco ha attribuito la colpa a una funzione di sincronizzazione cloud dell’account Google recentemente introdotta nell’aprile 2023, definendola un “modello oscuro”.
Cosa si sa di questo attacco ai clienti di Retool
“Il fatto che Google Authenticator sincronizzi con il cloud è un nuovo vettore di attacco“, ha detto Snir Kodesh, capo ingegnere di Retool e ha aggiunto “Inizialmente avevamo implementato l’autenticazione multi-fattore. Ma con questo aggiornamento di Google, ciò che era inizialmente un’autenticazione multi-fattore era diventato silenziosamente (per gli amministratori) un’autenticazione single-factor“.
Retool ha dichiarato che l’incidente, avvenuto il 27 agosto 2023, non ha consentito l’accesso non autorizzato agli account on-premises o gestiti; inoltre, coincideva con la migrazione delle loro connessioni a Okta.
Tutto è iniziato con un attacco di phishing via SMS mirato ai dipendenti, in cui i malintenzionati [i cybercriminali]si sono mascherati da membri del team IT e hanno istruito i destinatari a fare clic su un link apparentemente legittimo per affrontare un problema legato alla contabilità.
Un dipendente è caduto nella trappola del phishing, che lo ha portato a una pagina di destinazione fasulla che lo ha ingannato a consegnare le proprie credenziali. Nella fase successiva dell’attacco, gli hacker hanno chiamato il dipendente, fingendo di essere ancora la persona del team IT, utilizzando la tecnologia deepfake per “imitare la loro voce reale” al fine di ottenere il codice di autenticazione multi-fattore (MFA).
“La chiave OTP aggiuntiva condivisa durante la chiamata era fondamentale, perché ha permesso all’attaccante di aggiungere il proprio dispositivo personale all’account Okta del dipendente, consentendo loro di generare il proprio MFA Okta da quel momento in poi“, ha detto Kodesh, concludendo “Ciò ha permesso loro di avere una sessione attiva di G Suite [ora Google Workspace] su quel dispositivo“.
Il fatto che il dipendente avesse attivato la funzione di sincronizzazione cloud di Google Authenticator ha permesso ai cybercriminali di ottenere un accesso elevato ai sistemi interni e di prendere effettivamente il controllo degli account appartenenti a 27 clienti del settore delle criptovalute.
Gli attaccanti hanno infine cambiato le email di quegli utenti e reimpostato le loro password. Fortress Trust, uno degli utenti colpiti, ha visto rubati circa 15 milioni di dollari in criptovaluta a seguito dell’attacco, ha riferito CoinDesk.
“Poiché il controllo dell’account Okta ha portato al controllo dell’account Google, che ha portato al controllo di tutti gli OTP memorizzati in Google Authenticator“, ha sottolineato Kodesh.
Se nulla, questo sofisticato attacco dimostra che la sincronizzazione dei codici monouso con il cloud può compromettere il fattore “qualcosa che l’utente possiede”, rendendo necessario che gli utenti si affidino a chiavi di sicurezza hardware o passkey conformi a FIDO2 per contrastare gli attacchi di phishing.
Sebbene l’identità esatta degli hacker non sia stata divulgata, il modus operandi presenta somiglianze con quello di un [altro] malintenzionato a scopo finanziario noto come Scattered Spider (alias UNC3944), noto per le sue tattiche sofisticate di phishing.
“Sulla base dell’analisi dei domini di phishing sospetti di UNC3944, è plausibile che i criminali abbiano, in alcuni casi, utilizzato l’accesso agli ambienti delle vittime per ottenere informazioni sui sistemi interni e sfruttato tali informazioni per facilitare campagne di phishing più mirate“, ha dichiarato Mandiant la scorsa settimana, aggiungendo “Ad esempio, in alcuni casi, gli attori minacciosi sembravano creare nuovi domini di phishing che includevano i nomi dei sistemi interni“.
L’uso di deepfake e dei media sintetici è stato anche oggetto di un nuovo avviso da parte del governo degli Stati Uniti, che ha avvertito che gli audio, i video e i testi deepfake possono essere utilizzati per una vasta gamma di scopi maliziosi, tra cui attacchi di compromissione di email aziendali (BEC) e truffe legate alle criptovalute.
Non cadere vittima di SMS ingannevoli
Anche gli SMS possono avere link ingannevoli che si connettono ad internet per rubare dati (phishing): non cliccare.
Può apparire una banalità eppure molte persone continuano a cadere in questo tranello.
Il caso Retool non è una novità nel mondo informatico, spesso anche ben prima che internet divenisse popolare gli SMS ingannevoli ti facevano chiamare numeri (a pagamento) per poi farti spendere credito per servizi (apparentemente) non richiesti.
