A Microsoft está chamando atenção para um grupo de cibercrime baseado no Marrocos apelidado de Storm-0539, responsável por fraudes e roubo de vale-presente por meio de ataques de phishing altamente sofisticados por e-mail e SMS.
“Sua principal motivação é roubar vales-presente e lucrar vendendo-os online com desconto,” disse a empresa em seu mais recente relatório Cyber Signals. “Vimos alguns exemplos em que o ator da ameaça roubou até US$ 100.000 por dia em determinadas empresas.”
O Storm-0539 foi primeiro destaque pela Microsoft em meados de dezembro de 2023, ligando-o a campanhas de engenharia social antes da temporada de festas de fim de ano para roubar credenciais e tokens de sessão das vítimas através de páginas de phishing AitM.
A gangue, também chamada de Atlas Lion e ativa desde pelo menos o final de 2021, é conhecida por abusar do acesso inicial para registrar seus próprios dispositivos, contornar a autenticação e obter acesso persistente, obter privilégios elevados e comprometer serviços relacionados a vales-presente criando vales-presente falsos para facilitar a fraude.
As cadeias de ataques são designadas para ganhar acesso furtivo ao ambiente de nuvem de uma vítima, permitindo que o ator da ameaça realize extensa reconhecimento e armas infrutiferas para atingir seus objetivos finais. Os alvos da campanha incluem grandes varejistas, marcas de luxo e restaurantes fast-food conhecidos.
O objetivo final da operação é resgatar o valor associado a esses vales, vender os vales-presente para outros atores da ameaça nos mercados negros ou usar mulas de dinheiro para sacar os vales-presente.
O direcionamento criminoso de portais de vales-presente marca uma evolução tática do ator da ameaça, que anteriormente se envolveu em roubo de dados de cartões de pagamento usando malware em dispositivos de ponto de venda (PoS).
A fabricante do Windows observou um aumento de 30% na atividade de intrusão do Storm-0539 entre março e maio de 2024, descrevendo os atacantes como aproveitando seu amplo conhecimento da nuvem para “realizar reconhecimento nos processos de emissão de vales-presente de uma organização.”
Mais cedo neste mês, o Bureau Federal de Investigações dos Estados Unidos (FBI) divulgou um aviso alertando para ataques de smishing perpetrados pelo grupo visando os departamentos de vales-presente de corporações do varejo usando um kit de phishing sofisticado para contornar a autenticação multifator (MFA).
“Em um caso, uma corporação detectou atividades fraudulentas de vales-presente do Storm-0539 em seu sistema e instituiu mudanças para evitar a criação de vales-presente fraudulentos,” disse o FBI.
“Os atores do Storm-0539 continuaram seus ataques de smishing e recuperaram o acesso aos sistemas corporativos. Em seguida, os atores mudaram táticas para localizar vales-presente não resgatados e mudaram os endereços de e-mail associados para aqueles controlados pelos atores do Storm-0539 para resgatar os vales-presente.”
Vale ressaltar que as atividades do ator da ameaça vão além de roubar as credenciais de login do pessoal do departamento de vales-presente, seus esforços também se estendem a adquirir senhas e chaves secure shell (SSH), que podem então ser vendidas para obter ganhos financeiros ou usadas para ataques seguintes.
Outra tática adotada pelo Storm-0539 envolve o uso de listas de e-mails internas de empresas legítimas para disseminar mensagens de phishing após obter acesso inicial, adicionando uma aparência de autenticidade aos ataques. Também foi descoberto que eles criam contas de teste gratuitas ou de estudante em plataformas de serviços de nuvem para configurar novos sites.
O abuso de infraestrutura de nuvem, incluindo a atuação como organizações sem fins lucrativos legítimas para provedores de serviços de nuvem, é um sinal de que grupos motivados financeiramente estão adotando táticas de atores patrocinados por estados avançados para camuflar suas operações e permanecer não detectados.
A Microsoft está instando as empresas que emitem vales-presente a tratarem seus portais de vales como alvos de alto valor monitorando logins suspeitos.
“As organizações também devem considerar complementar o MFA com políticas de acesso condicional onde as solicitações de autenticação são avaliadas usando sinais adicionais orientados pela identidade, como informações de localização de endereço IP ou status do dispositivo, entre outros,” observou a empresa.
“As operações do Storm-0539 são persuasivas devido ao uso de e-mails comprometidos legítimos pelo ator e à imitação de plataformas legítimas usadas pela empresa-alvo.”
