Em um incidente alarmante de ciberataque, um ataque de spear phishing em um provedor de software, Retool, colocou em risco ativos de criptomoedas no valor de $15 milhões. O atacante manipulou emails e senhas de usuários no Retool, afetando 27 contas, embora os clientes locais do Retool não tenham sido afetados por essa violação.
Desvendando o Enganoso Ataque de Spear Phishing
Em 27 de agosto, o Retool, uma renomada plataforma de software, foi alvo de um bem orquestrado ataque de spear phishing. Esse ataque resultou em acesso não autorizado para alguns clientes em nuvem do Retool. O atacante executou habilmente um ataque de phishing baseado em SMS, se passando por um membro da equipe de TI para os funcionários do Retool.
O atacante usou um pretexto enganoso, alegando resolver um problema relacionado a sistemas de folha de pagamento e inscrição aberta, explorando assim uma preocupação crítica para os funcionários – cobertura de saúde. O momento do ataque foi bem planejado, coincidindo com a migração de logins para o Okta, e a mensagem continha uma URL imitando o portal de identidade interna do Retool.
O Ataque de Phishing: Uma Análise Mais Detalhada
Embora a maioria dos funcionários não tenha interagido com a mensagem fraudulenta, um funcionário infeliz clicou no link, levando a um portal falso com prompts de autenticação de múltiplos fatores (MFA). O atacante então iniciou uma ligação telefônica com o funcionário, usando uma voz deepfake para se passar por um membro da equipe de TI do Retool. O funcionário, apesar das suspeitas crescentes, compartilhou um código MFA adicional, o que permitiu ao atacante adicionar seu dispositivo à conta Okta do funcionário.
Isso forneceu ao atacante acesso a uma sessão ativa do GSuite. Curiosamente, o Google havia introduzido recentemente um recurso que sincroniza os códigos MFA na nuvem, o que poderia comprometer a segurança. O atacante aproveitou essa vulnerabilidade, facilitada pelos padrões obscuros do Google que promoviam a sincronização de códigos MFA.
As Consequências do Ataque
As implicações da violação se estenderam aos sistemas internos do Retool, incluindo VPN e sistemas administrativos, permitindo um ataque de roubo de conta em clientes específicos, principalmente da indústria de criptomoedas. Ao todo, o atacante alterou emails de usuários e redefiniu senhas, afetando 27 contas.
Ao descobrir a violação, o Retool agiu rapidamente. Ele revogou todas as sessões autenticadas internas, protegeu as contas afetadas, notificou os clientes impactados e restaurou suas contas para seus estados originais. É importante ressaltar que os clientes locais do Retool não foram afetados, pois o sistema local opera independentemente do ambiente em nuvem do Retool.
O Retool confirmou que estava colaborando ativamente com as autoridades policiais e uma empresa de forense de terceiros para investigar a violação. Esse incidente serve como um lembrete da importância da vigilância constante e de medidas de segurança robustas no mundo digital, especialmente para aqueles envolvidos no setor de criptomoedas. Para acompanhar seus investimentos em criptomoedas e se manter atualizado sobre as últimas ameaças de segurança cibernética, considere usar aplicativos como cryptoview.io.
texto de chamada para ação
