In un allarmante incidente di cyber-attacco, un attacco di spear phishing al fornitore di software Retool mette a rischio criptovalute per un valore di 15 milioni di dollari. L’attaccante ha manipolato le email degli utenti e le password su Retool, influenzando 27 account, anche se i clienti on-premise di Retool non sono stati colpiti da questa violazione.
Svelare l’ingannevole attacco di spear phishing
Il 27 agosto, Retool, una rinomata piattaforma software, è stata presa di mira da un attacco di spear phishing ben orchestrato. Questo attacco ha comportato un accesso non autorizzato per alcuni clienti cloud di Retool. L’attaccante ha eseguito abilmente un attacco di phishing basato su SMS, fingendosi un membro del team IT per i dipendenti di Retool.
L’attaccante ha utilizzato un pretesto ingannevole, affermando di risolvere un problema legato ai sistemi di pagamento e all’iscrizione aperta, sfruttando così una preoccupazione critica per i dipendenti – la copertura sanitaria. L’attacco è stato pianificato con cura, coincidendo con la migrazione dei login a Okta, e il messaggio conteneva un URL che imitava il portale di identità interno di Retool.
L’attacco di phishing: uno sguardo più ravvicinato
Sebbene la maggior parte dei dipendenti non abbia interagito con il testo fraudolento, un dipendente sfortunato ha cliccato sul link, che ha portato a un portale falso con prompt di autenticazione multi-fattore (MFA). L’attaccante ha quindi avviato una chiamata telefonica con il dipendente, utilizzando una voce deepfake per impersonare un membro del team IT di Retool. Nonostante i crescenti sospetti, il dipendente ha condiviso un ulteriore codice MFA, consentendo all’attaccante di aggiungere il proprio dispositivo all’account Okta del dipendente.
Ciò ha fornito all’attaccante accesso a una sessione GSuite attiva. Curiosamente, Google aveva recentemente introdotto una funzione che sincronizza i codici MFA nel cloud, il che potrebbe compromettere la sicurezza. L’attaccante ha sfruttato questa vulnerabilità, facilitata dai modelli oscuri di Google che promuovevano la sincronizzazione dei codici MFA.
Le conseguenze dell’attacco
Le implicazioni della violazione si sono estese ai sistemi interni di Retool, inclusi VPN e sistemi di amministrazione, consentendo un attacco di takeover dell’account su clienti specifici, principalmente del settore delle criptovalute. In totale, l’attaccante ha modificato le email degli utenti e ripristinato le password, influenzando 27 account.
Dopo aver scoperto la violazione, Retool ha agito prontamente. Ha revocato tutte le sessioni di autenticazione interne, ha protetto gli account interessati, ha avvisato i clienti colpiti e ha ripristinato i loro account allo stato originale. Da notare che i clienti on-premise di Retool sono rimasti non influenzati, poiché il sistema on-premise funziona in modo indipendente dall’ambiente cloud di Retool.
Retool ha confermato di collaborare attivamente con le forze dell’ordine e una società di investigazioni di terze parti per indagare sulla violazione. Questo incidente serve come promemoria dell’importanza di una vigilanza costante e di misure di sicurezza robuste nel mondo digitale, soprattutto per coloro che sono coinvolti nel settore delle criptovalute. Per tenere traccia dei tuoi investimenti in criptovaluta e rimanere aggiornato sulle ultime minacce alla sicurezza informatica, considera l’utilizzo di applicazioni come cryptoview.io.
testo di call to action
