Cyberthreat.id - Perusahaan pengembangan perangkat lunak Retool mengungkapkan akun 27 pelanggan cloud-nya telah disusupi menyusul serangan rekayasa sosial yang ditargetkan dan berbasis SMS.

Perusahaan yang berbasis di San Francisco itu menyalahkan fitur sinkronisasi cloud Akun Google yang diperkenalkan pada April 2023 karena memperburuk pelanggaran, dan menyebutnya sebagai "pola gelap".

“Fakta bahwa Google Authenticator melakukan sinkronisasi ke cloud adalah vektor serangan baru,” kata Snir Kodesh, kepala teknik Retool, sebagaimana ditulis The Hacker News.

"Apa yang awalnya kami terapkan adalah autentikasi multi-faktor. Namun melalui pembaruan Google ini, apa yang sebelumnya merupakan autentikasi multi-faktor secara diam-diam (bagi administrator) menjadi autentikasi satu faktor."

Retool mengatakan bahwa insiden yang terjadi pada 27 Agustus 2023 tidak mengizinkan akses tidak sah ke akun lokal atau akun terkelola. Itu juga bertepatan dengan perusahaan yang memigrasikan login mereka ke Okta.

Semuanya dimulai dengan serangan SMS phishing yang ditujukan kepada karyawannya, di mana pelaku ancaman menyamar sebagai anggota tim TI dan memerintahkan penerima untuk mengklik tautan yang tampaknya sah untuk mengatasi masalah terkait penggajian.

Salah satu karyawan terjebak dalam perangkap phishing, yang mengarahkan mereka ke halaman arahan palsu yang menipu mereka agar menyerahkan kredensial mereka.

Pada tahap serangan berikutnya, para peretas memanggil karyawan tersebut, sekali lagi menyamar sebagai anggota tim TI dengan memalsukan "suara sebenarnya" mereka untuk mendapatkan kode otentikasi multi-faktor (MFA).

“Token OTP tambahan yang dibagikan melalui panggilan itu sangat penting, karena memungkinkan penyerang menambahkan perangkat pribadi mereka ke akun Okta karyawan, yang memungkinkan mereka membuat Okta MFA mereka sendiri sejak saat itu,” kata Kodesh.

"Hal ini memungkinkan mereka memiliki sesi G Suite aktif [sekarang Google Workspace] di perangkat tersebut."

Fakta bahwa karyawan tersebut juga telah mengaktifkan fitur sinkronisasi cloud Google Authenticator memungkinkan pelaku ancaman mendapatkan akses yang lebih tinggi ke sistem admin internalnya dan secara efektif mengambil alih akun milik 27 pelanggan di industri kripto.

Para penyerang akhirnya mengubah email untuk pengguna tersebut dan mengatur ulang kata sandi mereka.

Fortress Trust, salah satu pengguna yang terkena dampak, melihat cryptocurrency senilai hampir $15 juta dicuri akibat peretasan tersebut, CoinDesk melaporkan.

“Karena penguasaan akun Okta berujung pada penguasaan akun Google, yang berujung pada penguasaan seluruh OTP yang tersimpan di Google Authenticator,” jelas Kodesh.

Bahkan, serangan canggih ini menunjukkan bahwa sinkronisasi kode satu kali ke cloud dapat merusak faktor "sesuatu yang dimiliki pengguna", sehingga mengharuskan pengguna mengandalkan kunci keamanan perangkat keras atau kunci sandi yang sesuai dengan FIDO2 untuk mengalahkan serangan phishing.

Meskipun identitas pasti para peretas tidak diungkapkan, modus operandinya menunjukkan kemiripan dengan pelaku ancaman bermotivasi finansial yang dilacak sebagai Scattered Spider (alias UNC3944), yang dikenal dengan taktik phishingnya yang canggih.

“Berdasarkan analisis dugaan domain phishing UNC3944, masuk akal bahwa pelaku ancaman, dalam beberapa kasus, menggunakan akses ke lingkungan korban untuk mendapatkan informasi tentang sistem internal dan memanfaatkan informasi tersebut untuk memfasilitasi kampanye phishing yang lebih disesuaikan,” ungkap Mandiant pekan lalu.

“Misalnya, dalam beberapa kasus, pelaku ancaman tampaknya membuat domain phishing baru yang menyertakan nama sistem internal.”

Penggunaan deepfake dan media sintetis juga telah menjadi sasaran peringatan baru dari pemerintah AS, yang memperingatkan bahwa deepfake audio, video, dan teks dapat digunakan untuk berbagai tujuan jahat, termasuk serangan kompromi email bisnis (BEC) dan penipuan mata uang kripto.[]