A Microsoft está chamando a atenção para um grupo de cibercriminosos sediado em Marrocos chamado Storm-0539, que está por trás de fraudes e roubo de cartões-presente através de ataques de phishing altamente sofisticados por e-mail e SMS.

“Sua motivação principal é roubar cartões-presente e lucrar vendendo-os online com desconto”, disse a empresa em seu último relatório Cyber Signals. “Já vimos alguns exemplos em que o ator da ameaça roubou até US $ 100.000 por dia em certas empresas.”

Storm-0539 foi primeiro destacado pela Microsoft em meados de dezembro de 2023, vinculando-o a campanhas de engenharia social antes da temporada de férias de fim de ano para roubar credenciais e tokens de sessão das vítimas através de páginas de phishing.

A gangue, também chamada de Atlas Lion e ativa desde pelo menos o final de 2021, é conhecida por abusar do acesso inicial para registrar seus próprios dispositivos a fim de contornar a autenticação e obter acesso persistente, ganhar privilégios elevados e comprometer serviços relacionados a cartões-presente criando cartões falsos para facilitar fraudes.

As cadeias de ataque são projetadas para obter acesso oculto ao ambiente de nuvem da vítima, permitindo que o ator da ameaça realize extensas operações de reconhecimento e utilize a infraestrutura para atingir seus objetivos finais. Os alvos da campanha incluem grandes varejistas, marcas de luxo e restaurantes de fast-food conhecidos.

O objetivo final da operação é resgatar o valor associado a esses cartões, vender os cartões-presente para outros atores da ameaça em mercados negros ou usar mulas de dinheiro para sacar os cartões-presente.

O direcionamento criminoso dos portais de cartões-presente marca uma evolução tática do ator da ameaça, que anteriormente se envolveu em roubo de dados do cartão de pagamento usando malware em dispositivos de ponto de venda (PoS).

O fabricante do Windows observou um aumento de 30% na atividade de intrusão do Storm-0539 entre março e maio de 2024, descrevendo os atacantes como alavancando seu amplo conhecimento da nuvem para “realizar reconhecimento nos processos de emissão de cartões-presente de uma organização”.

No início deste mês, o Bureau Federal de Investigação (FBI) dos EUA emitiu um aviso sobre ataques de smishing perpetrados pelo grupo visando os departamentos de cartões-presente de empresas de varejo usando um kit de phishing sofisticado para contornar a autenticação de dois fatores.

“Em um caso, uma corporação detectou a atividade fraudulenta de cartões-presente do Storm-0539 em seu sistema e instituiu mudanças para evitar a criação de cartões-presente fraudulentos”, disse o FBI.

Os esforços do ator da ameaça também se estendem à aquisição de senhas e chaves SSH, que podem ser vendidas para ganho financeiro ou usadas para ataques subsequentes. Outra tática adotada pelo Storm-0539 envolve o uso de listas de e-mail internas da empresa para disseminar mensagens de phishing ao obter acesso inicial, adicionando uma aparência de autenticidade aos ataques. Também foi descoberto que cria testes gratuitos ou contas de estudante em plataformas de serviços de nuvem para configurar novos sites.

O abuso da infraestrutura de nuvem, incluindo a imitação de organizações sem fins lucrativos legítimas para provedores de serviços em nuvem, é um sinal de que grupos financeiramente motivados estão adotando estratégias de atores patrocinados pelo estado avançados para camuflar suas operações e permanecerem indetectados.

A Microsoft está instando as empresas que emitem cartões-presente a tratarem seus portais de cartões-presente como alvos de alto valor monitorando logins suspeitos.

“As organizações também devem considerar a complementação do MFA com políticas de acesso condicional, onde as solicitações de autenticação são avaliadas usando sinais adicionais baseados em identidade como informações de localização de endereço IP ou status do dispositivo, entre outros”, observou a empresa.

“As operações do Storm-0539 são persuasivas devido ao uso de e-mails comprometidos legítimos e à imitação de plataformas legítimas usadas pela empresa-alvo.”