Você está visualizando atualmente Pesquisadores da Microsoft Descobrem Golpe Antigo com Novo Visual para a Era da Nuvem: Hackeando Portais de Varejistas para Fazer Chover Cartões Presente.

Pesquisadores da Microsoft Descobrem Golpe Antigo com Novo Visual para a Era da Nuvem: Hackeando Portais de Varejistas para Fazer Chover Cartões Presente.

Um grupo de ameaça marroquino atualizou o clássico golpe do cartão-presente, mas direcionando não aos clientes varejistas, mas aos sistemas que registram os cartões, permitindo que eles “imprimam” dinheiro à vontade.

Os golpistas têm utilizado táticas de engenharia social para convencer pessoas comuns a comprarem cartões-presente para eles. O modus operandi não mudou muito ao longo do tempo, porque não precisou; é tão eficaz e lucrativo hoje como sempre foi.

Talvez por isso a última campanha do grupo de cibercrime chamado Storm-0539, também conhecido como Atlas Lion, se destaque: eles pegaram algo que não estava quebrado e o tornaram melhor. Em vez de trabalhar com vítimas individuais – sempre trabalhoso, com uma taxa de retorno potencialmente baixa – os atacantes comprometem os varejistas em si, especificamente os portais que eles usam para emitir cartões-presente.

Eis como funciona, de acordo com um novo relatório da Microsoft.

Em vez de clientes varejistas, o Storm-0539 mira funcionários de varejo com mensagens de phishing. O objetivo de sua engenharia social é comprometer as contas de seus empregadores.

Usando a conta de um funcionário, os criminosos cibernéticos podem começar a ver e mover-se lateralmente dentro da rede de um varejista. Às vezes, eles usarão o primeiro funcionário para comprometer outros, com tentativas de phishing enviadas através de listas de correspondência interna que imitam as normas comerciais usuais da empresa. Caso contrário, com acesso a contas com privilégios suficientes, eles roubam informações sobre vários serviços e contas que podem então usar para finalmente alcançar a parte do sistema que lida com os cartões-presente.

“O Storm-0539 coleta informações sobre uma ampla variedade de recursos em ambientes segmentados para avançar em direção a seu objetivo de roubar cartões-presente”, observa Emiel Haeghebaert, analista sênior de caça no Microsoft Threat Intelligence Center. Isso pode incluir recursos relacionados ao OneDrive, Salesforce, Citrix e outros, diz ele.

Como a Microsoft descreve, as habilidades de reconhecimento e nuvem do Storm-0539 estão no nível do que ela observa em atores de nível estatal.

Através de quaisquer meios necessários para chegar lá, o Storm-0539 percorre os ambientes dos varejistas até obter acesso ao portal de cartões-presente. Usando uma conta de funcionário comprometida, ele cria o máximo possível de novos cartões-presente, no limite de valor em dólar arbitrário que o varejista definiu, e o mais rápido possível. Em seguida, saca-os, ou os utiliza para outros propósitos, ou os vende a outros atores maliciosos na Dark Web.

O momento do relatório da Microsoft é deliberado. Previsivelmente, o Storm-0593 sempre se intensifica em antecipação a temporadas de férias: verão, Dia do Trabalho, Ação de Graças, Black Friday, férias de inverno e, neste fim de semana, Dia da Memória. A atividade maliciosa do grupo de setembro a dezembro de 2023, por exemplo, foi 60% maior do que o normal, e aumentou 30% nos últimos meses.

Para se preparar para esse ator de ameaça, e os outros que inevitavelmente o seguirão, a Microsoft recomenda que as organizações adotem autenticação multifatorial resistente a phishing (MFA), medidas rigorosas de redefinição de senha, replay de token e outras proteções contra fraudes, e princípios de privilégio mínimo, além de educar os funcionários sobre os riscos desse golpe.

A diferença que a boa segurança faz aqui já foi comprovada. Graças à colaboração e compartilhamento de informações aumentados, a Microsoft relata que “observamos um aumento na capacidade de grandes varejistas de repelir efetivamente a atividade do Storm-0539 nos últimos meses.”