ShinyHunters assume autoria de invasões hacker por logins únicos Microsoft, Okta
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
A gangue de ransomware ShinyHunters assumiu a autoria de uma onda de ataques de vishing se aproveitando de contas de login único (SSO) nos serviços Google, Microsoft e Okta, que levam golpistas a plataformas de software como serviço para roubar dados e extorquir empresas.
- Smishing e Vishing: o phishing que chega por SMS e ligação de voz
- Kits de vishing customizados já imitam sites e logins em tempo real
O ataque envolve a imitação de suporte de TI pelos cibercriminosos, que ligam para funcionários e os enganam para que insiram credenciais e códigos de autenticação por dois fatores em sites de phishing que imitam o login das empresas em que trabalham. Uma vez na conta, os hackers se aproveitam do login SSO, que dá acesso a outros serviços, para invadir a companhia profundamente.
Exploração do SSO
Serviços de SSO, como os da Google, Microsoft Entra e Okta permitem que empresas conectem aplicativos de terceiros em um único fluxo de login, dando aos funcionários o acesso a serviços de nuvem, ferramentas internas e plataformas de negócios. Normalmente, a dashboard já informa todos os serviços conectados, levando os golpistas a acessarem sistemas e dados corporativos a partir da invasão.
Aplicativos comumente conectados em SSO incluem Adobe, Atlassian, Dropbox, Google Workspace, Microsoft 365, Salesforce, SAP, Slack e Zendesk.
Segundo um relatório da Okta, os kits de phishing usados pelos hackers permitem a mudança dinâmica do site imitado no ataque, combinando o que a vítima fala ao telefone com as informações mostradas na tela, o que leva ao roubo do código de autenticação por dois fatores. Os cibercriminosos podem até enviar notificações push e guiar o usuário pelo processo.
Segundo os hackers da ShinyHunters, também foram invadidas sessões Microsoft Entra e Google, mas ambas as empresas se recusaram a comentar o caso: segundo a Google, nenhum produto teve indicações de ter sido afetado pela campanha.
Os golpistas ainda afirmam ter usado dados roubados em ataques anteriores, como o da Salesforce, para identificar e contatar funcionários para a campanha atual. O grupo reativou seu site no Tor para informar os vazamentos realizados, que incluem SoundCloud, Betterment e Crunchbase.
Leia também:
- Nova campanha de ransomware e RAT possui diversos estágios e tem combate difícil
- Hackers “sequestram” recurso de convite a equipes da OpenAI para roubar dados
- Pesquisadores descobrem falhas em veículos que podem gerar riscos de segurança
VÍDEO | Emoji na senha: gênio da segurança 😇 ou pesadelo na hora de logar? 😈
Fonte: BleepingComputer