A Microsoft está chamando a atenção para um grupo de cibercrime sediado em Marrocos, denominado Storm-0539, que está por trás de fraudes com cartões presente e roubo por meio de ataques sofisticados de phishing por e-mail e SMS.

“Sua principal motivação é roubar cartões presente e lucrar vendendo-os online a uma taxa de desconto,” disse a empresa em seu último relatório Cyber Signals. “Vimos alguns exemplos em que o ator ameaçador roubou até US $ 100.000 por dia em determinadas empresas.”

Storm-0539 foi inicialmente destacado pela Microsoft em meados de dezembro de 2023, vinculando-o a campanhas de engenharia social antes da temporada de festas de fim de ano para roubar credenciais das vítimas e tokens de sessão por meio de páginas de phishing de adversário-no-meio (AitM).

A quadrilha, também conhecida como Atlas Lion e ativa desde pelo menos o final de 2021, é conhecida por então abusar do acesso inicial para registrar seus próprios dispositivos para ignorar a autenticação e obter acesso persistente, obter privilégios elevados e comprometer serviços relacionados a cartões presente criando cartões presente falsos para facilitar a fraude.

As cadeias de ataque são ainda projetadas para obter acesso oculto ao ambiente de nuvem da vítima, permitindo que o ator ameaçador realize uma extensa reconhecimento e armamento da infraestrutura para alcançar seus objetivos finais. Os alvos da campanha incluem grandes varejistas, marcas de luxo e restaurantes de fast-food conhecidos.

O objetivo final da operação é resgatar o valor associado a esses cartões, vender os cartões presente para outros atores ameaçadores em mercados negros ou usar mulas de dinheiro para resgatar os cartões presente.

A segmentação criminosa de portais de cartões presente marca uma evolução tática do ator ameaçador, que anteriormente se envolveu em roubo de dados de cartões de pagamento usando malware em dispositivos ponto de venda (PoS).

O fabricante do Windows disse ter observado um aumento de 30% na atividade de intrusão do Storm-0539 entre março e maio de 2024, descrevendo os invasores como alavancando seu profundo conhecimento da nuvem para “conduzir um reconhecimento nos processos de emissão de cartões presente de uma organização.”

No início deste mês, o U.S. Federal Bureau of Investigation (FBI) emitiu um aviso [PDF] alertando para ataques smishing perpetrados pelo grupo visando os departamentos de cartões presente de corporações varejistas usando um kit de phishing sofisticado para contornar a autenticação de múltiplos fatores (MFA).

“Em um caso, uma corporação detectou a atividade fraudulenta de cartões presente do Storm-0539 em seu sistema e instituiu mudanças para impedir a criação de cartões presente fraudulentos,” disse o FBI.

“Os atores do Storm-0539 continuaram seus ataques de smishing e recuperaram o acesso aos sistemas corporativos. Depois, os atores pivotearam táticas para localizar cartões presente não resgatados e alteraram os endereços de e-mail associados para aqueles controlados pelos atores do Storm-0539 para resgatar os cartões presente.”

Vale ressaltar que as atividades do ator ameaçador vão além de roubar as credenciais de login do pessoal do departamento de cartões presente. Seus esforços também se estendem à aquisição de senhas e chaves de shell seguro (SSH), que podem ser vendidas para ganho financeiro ou usadas para ataques subsequentes.