Ataques de Vishing: ShinyHunters assume autoria de invasões hacker por logins únicos

A gangue de ransomware ShinyHunters assumiu a responsabilidade por uma série de ataques de vishing que exploram contas de login único (SSO) nos serviços Google, Microsoft e Okta. Esses ataques permitem que os golpistas acessem plataformas de software como serviço e roubem dados, além de extorquir empresas.

Os ataques envolvem a imitação de suporte de TI pelos cibercriminosos, que ligam para funcionários e os enganam para que insiram credenciais e códigos de autenticação por dois fatores em sites de phishing que imitam o login das empresas em que trabalham. Uma vez na conta, os hackers se aproveitam do login SSO para invadir a companhia profundamente.

Exploração do SSO

Serviços de SSO, como os da Google, Microsoft Entra e Okta, permitem que empresas conectem aplicativos de terceiros em um único fluxo de login, dando aos funcionários acesso a serviços de nuvem, ferramentas internas e plataformas de negócios. Normalmente, a dashboard já informa todos os serviços conectados, levando os golpistas a acessarem sistemas e dados corporativos a partir da invasão.

Aplicativos comumente conectados em SSO incluem:

• Adobe
• Atlassian
• Dropbox
• Google Workspace
• Microsoft 365
• Salesforce
• SAP
• Slack
• Zendesk

Segundo um relatório da Okta, os kits de phishing usados pelos hackers permitem a mudança dinâmica do site imitado no ataque, combinando o que a vítima fala ao telefone com as informações mostradas na tela, o que leva ao roubo do código de autenticação por dois fatores.

Os cibercriminosos afirmam ter usado dados roubados em ataques anteriores, como o da Salesforce, para identificar e contatar funcionários para a campanha atual. O grupo reativou seu site no Tor para informar os vazamentos realizados, que incluem SoundCloud, Betterment e Crunchbase.

Este conteúdo pode conter links de compra.

Fonte: link