A Microsoft está chamando a atenção para um grupo de cibercriminosos com sede no Marrocos, apelidado de Storm-0539, que está por trás de fraudes e roubos de cartões-presente por meio de ataques sofisticados de phishing por e-mail e SMS.

“Sua principal motivação é roubar cartões-presente e lucrar vendendo-os online com desconto”, disse a empresa em seu último relatório de Sinais Cibernéticos. “Já vimos alguns exemplos em que o ator da ameaça roubou até US$ 100.000 por dia em certas empresas”.

Storm-0539 foi primeiramente destacado pela Microsoft em meados de dezembro de 2023, ligando-o a campanhas de engenharia social antes da temporada de férias de final de ano para roubar credenciais das vítimas e tokens de sessão por meio de páginas de phishing.

A gangue, também chamada Atlas Lion e ativa desde pelo menos o final de 2021, é conhecida por abusar do acesso inicial para registrar seus próprios dispositivos e obter acesso persistente, ganhar privilégios elevados e comprometer serviços relacionados a cartões-presente criando cartões falsos para facilitar fraudes.

As cadeias de ataques são ainda projetadas para obter acesso encoberto ao ambiente de nuvem de uma vítima, permitindo que o ator da ameaça realize uma extensa reconhecimento e arme a infraestrutura para alcançar seus objetivos finais. Os alvos da campanha incluem grandes varejistas, marcas de luxo e restaurantes fast-food conhecidos.

O objetivo final da operação é resgatar o valor associado a esses cartões, vender os cartões-presente para outros atores de ameaças em mercados negros ou usar correios de dinheiro para resgatar os cartões-presente.

O direcionamento criminoso de portais de cartões-presente marca uma evolução tática do ator da ameaça, que anteriormente se envolveu em roubar dados de cartões de pagamento usando malware em dispositivos de ponto de venda (PoS).

A fabricante do Windows observou um aumento de 30% na atividade de intrusão do Storm-0539 entre março e maio de 2024, descrevendo os atacantes como aproveitando seu profundo conhecimento da nuvem para “realizar um reconhecimento nos processos de emissão de cartões-presente de uma organização”.

No início deste mês, o Federal Bureau of Investigation (FBI) divulgou um aviso alertando sobre ataques de smishing perpetrados pelo grupo visando os departamentos de cartões-presente de corporações comerciais usando um kit de phishing sofisticado para contornar a autenticação multifatorial.

“Em um caso, uma corporação detectou a atividade fraudulenta de cartões-presente do Storm-0539 em seu sistema e instituiu mudanças para impedir a criação de cartões-presente fraudulentos”, disse o FBI.

“Os atores do Storm-0539 continuaram seus ataques de smishing e recuperaram o acesso aos sistemas corporativos. Em seguida, eles mudaram as táticas para localizar cartões-presente não resgatados e alteraram os endereços de e-mail associados para aqueles controlados pelos atores do Storm-0539 para resgatar os cartões-presente”.

Vale ressaltar que as atividades do ator da ameaça vão além de roubar as credenciais de login do pessoal do departamento de cartões-presente. Seus esforços também se estendem à aquisição de senhas e chaves de shell seguro (SSH), que podem ser vendidas para ganho financeiro ou usadas para ataques subsequentes.

Outra tática adotada pelo Storm-0539 envolve o uso de listas de e-mails internas legítimas da empresa para disseminar mensagens de phishing após obter acesso inicial, adicionando uma aparência de autenticidade aos ataques. Também foi descoberto que eles criam contas gratuitas ou de estudante em plataformas de serviços em nuvem para configurar novos sites.

O abuso de infraestrutura de nuvem, inclusive ao se passar por organizações sem fins lucrativos legítimas para prestadores de serviços em nuvem, é um sinal de que grupos motivados financeiramente estão adotando técnicas de atores patrocinados pelo estado para camuflar suas operações e permanecerem indetectados.

A Microsoft está incentivando as empresas que emitem cartões-presente a tratarem seus portais de cartões-presente como alvos de alto valor monitorando logins suspeitos.

“As organizações também devem considerar a complementação da autenticação multifatorial com políticas de acesso condicional em que as solicitações de autenticação são avaliadas usando sinais adicionais impulsionados pela identidade, como informações de localização do endereço IP ou status do dispositivo, entre outros”, observou a empresa.

“As operações do Storm-0539 são persuasivas devido ao uso de e-mails comprometidos legítimos e à imitação de plataformas legítimas usadas pela empresa-alvo”.