I ricercatori di Group-IB hanno scoperto che i recenti attacchi phishing contro Twilio, Cloudflare e Signal erano parte di una massiccia campagna che ha interessato 9.931 account di oltre 130 aziende. Alla campagna è stato assegnato il nome Oktapus, in quanto i cybercriminali hanno sfruttato la notorietà di Okta, società californiana che fornisce servizi di gestione degli accessi e delle identità.
Oktapus: sofisticata campagna di phishing
Gli esperti di Group-IB hanno scoperto che la campagna Oktapus è stata avviata a marzo 2022. Il principale obiettivo dei cybercriminali era quello di ottenere le credenziali Okta e i codici dell’autenticazione in due fattori (2FA) dai dipendenti delle aziende. Questi ultimi hanno ricevuto SMS con link a siti di phishing che imitavano la pagina di login di Okta.
Non è noto come i cybercriminali hanno ottenuto i numeri di telefono (forse tramite un attacco contro gli operatori di telecomunicazioni). Per ingannare gli utenti sono state utilizzate keyword specifiche nei nomi di dominio, come sso, vpn, okta, mfa e help. Le credenziali di login e i codici 2FA venivano inviati ad un canale Telegram privato. La campagna Oktapus ha permesso di rubare 9.931 credenziali e 5.541 codici 2FA di 136 organizzazioni, la maggioranza delle quali si trovano negli Stati Uniti (17 in Italia).
Al momento non è noto se le credenziali di login sono state sfruttate per accedere ai sistemi interni delle aziende e rubare dati sensibili o installare malware. Group-IB consiglia di utilizzare chiavi hardware per l’autenticazione multi-fattore, come Yubikey.