Home Sociedad Campaña de phishing 0ktapus tiene como objetivo las credenciales de identidad de...

Campaña de phishing 0ktapus tiene como objetivo las credenciales de identidad de Okta

Foto: Weerapatkiatdumrong vía Getty Images.

Investigadores de seguridad han revelado una nueva campaña de phishing dirigida a las credenciales de identidad de Okta y a los códigos de autenticación de dos factores (2FA) conectados.

El análisis proviene del Grupo-IB, que dijo que era particularmente interesante porque a pesar de utilizar métodos de baja calificación, la campaña fue capaz de comprometer un gran número de empresas conocidas.

De hecho, los atacantes enviaron a los empleados de las empresas objetivo mensajes de texto que contenían enlaces a sitios de phishing que imitaban la página de autenticación de Okta de su organización, seguidos de un segundo que pedía un código 2FA. Al intentar iniciar la sesión, las credenciales de la víctima se enviaban a los actores maliciosos que estaban detrás del ataque.

En general, la compañía confirmó que detectó 169 dominios únicos involucrados en esta campaña “0ktapus”. El equipo lo hizo analizando los recursos utilizados para crear esos sitios, algunos de los cuales (imágenes, fuentes o scripts) eran lo suficientemente únicos como para ser utilizados para encontrar otros sitios que utilizan el mismo kit de phishing.

En cuanto a las organizaciones objetivo, la gran mayoría de las víctimas de 0ktapus se encontraban en Estados Unidos, seguidas por el Reino Unido y Canadá. La mayor parte de ellas eran proveedores de TI, desarrollo de software y servicios en la nube, pero también había algunas empresas financieras en la lista.

Para evitar convertirse en una víctima de 0ktapus, Group-IB dijo que los usuarios finales (especialmente los que tienen derechos de administrador) deberían comprobar siempre dos veces la URL del sitio en el que introducen las credenciales. Los investigadores de seguridad también aconsejaron a las empresas que implementaran una clave de seguridad compatible con FIDO2 para la autenticación multifactor (MFA).

El aviso elaborado por Group-IB se basa en una solicitud de uno de sus clientes, así como en informes públicos sobre 0ktapus de Twilio y Cloudflare.

Group-IB también ha descubierto recientemente una enorme campaña de fraude de inversiones dirigida a víctimas europeas a través de canales online y telefónicos.