Dans un incident alarmant de cyberattaque, une attaque de phishing ciblée sur le fournisseur de logiciels Retool met en péril des actifs de cryptomonnaie d’une valeur de 15 millions de dollars. L’attaquant a manipulé les e-mails et les mots de passe des utilisateurs sur Retool, affectant 27 comptes, bien que les clients de Retool sur site n’aient pas été touchés par cette violation de sécurité.
Démêler l’attaque trompeuse de phishing ciblé
Le 27 août, Retool, une plateforme logicielle renommée, a été visée par une attaque de phishing ciblée bien orchestrée. Cette attaque a entraîné un accès non autorisé pour certains des clients cloud de Retool. L’attaquant a habilement exécuté une attaque de phishing basée sur les SMS, se faisant passer pour un membre de l’équipe informatique auprès des employés de Retool.
L’attaquant a utilisé un prétexte trompeur, prétendant résoudre un problème lié aux systèmes de paie et aux inscriptions ouvertes, exploitant ainsi une préoccupation critique pour les employés – la couverture santé. Le moment de l’attaque était bien planifié, coïncidant avec la migration des connexions vers Okta, et le message contenait une URL imitant le portail d’identité interne de Retool.
Un regard plus attentif sur l’attaque de phishing
Bien que la plupart des employés n’aient pas interagi avec le message frauduleux, un employé malchanceux a cliqué sur le lien, ce qui l’a conduit à un portail frauduleux avec des invites d’authentification à facteurs multiples (MFA). L’attaquant a ensuite initié un appel téléphonique avec l’employé, utilisant une voix deepfake pour se faire passer pour un membre de l’équipe informatique de Retool. L’employé, malgré des soupçons grandissants, a partagé un code MFA supplémentaire, ce qui a permis à l’attaquant d’ajouter son appareil au compte Okta de l’employé.
Cela a donné à l’attaquant accès à une session active de GSuite. Fait intéressant, Google avait récemment introduit une fonctionnalité permettant de synchroniser les codes MFA dans le cloud, ce qui pourrait compromettre la sécurité. L’attaquant a profité de cette vulnérabilité, facilitée par les modèles sombres de Google qui favorisaient la synchronisation des codes MFA.
Les conséquences de l’attaque
Les implications de la violation de sécurité ont touché les systèmes internes de Retool, y compris le VPN et les systèmes d’administration, permettant une attaque de prise de contrôle de compte sur des clients spécifiques, principalement de l’industrie de la cryptomonnaie. Au total, l’attaquant a modifié les e-mails des utilisateurs et réinitialisé les mots de passe, affectant 27 comptes.
Après avoir découvert la violation de sécurité, Retool a agi rapidement. Il a révoqué toutes les sessions d’authentification internes, sécurisé les comptes affectés, informé les clients impactés et restauré leurs comptes dans leur état d’origine. Il est à noter que les clients de Retool sur site n’ont pas été affectés, car le système sur site fonctionne indépendamment de l’environnement cloud de Retool.
Retool a confirmé qu’il collaborait activement avec les forces de l’ordre et une entreprise d’investigation tierce pour enquêter sur la violation de sécurité. Cet incident rappelle l’importance de la vigilance constante et de mesures de sécurité robustes dans le monde numérique, notamment pour ceux qui sont impliqués dans le secteur de la cryptomonnaie. Pour suivre vos investissements en cryptomonnaie et rester informé des dernières menaces en matière de cybersécurité, envisagez d’utiliser des applications comme cryptoview.io.
Commencez dès maintenant à utiliser nos outils gratuitement.
