A Microsoft está chamando a atenção para um grupo de cibercriminosos sediado em Marrocos denominado Storm-0539, que está por trás de fraudes e roubos de cartões-presente por meio de ataques de phishing altamente sofisticados por e-mail e SMS.

“O principal objetivo deles é roubar cartões-presente e lucrar vendendo-os online com desconto”, disse a empresa em seu último relatório de Cyber Signals. “Vimos alguns exemplos em que o ator ameaçador roubou até $100.000 por dia em certas empresas.”

Storm-0539 foi destacado pela primeira vez pela Microsoft em meados de dezembro de 2023, ligando-o a campanhas de engenharia social antes da temporada de férias de fim de ano para roubar credenciais e tokens de sessão das vítimas por meio de páginas de phishing do tipo meio-a-meio.

A gangue, também chamada de Atlas Lion e ativa desde pelo menos o final de 2021, é conhecida por abusar do acesso inicial para registrar seus próprios dispositivos e obter acesso persistente, obter privilégios elevados e comprometer serviços relacionados a cartões-presente criando cartões falsos para facilitar a fraude.

As cadeias de ataque são ainda projetadas para obter acesso furtivo ao ambiente de nuvem de uma vítima, permitindo que o ator ameaçador realize uma extensa reconhecimento e militarize a infraestrutura para alcançar seus objetivos finais. Os alvos da campanha incluem grandes varejistas, marcas de luxo e restaurantes fast-food conhecidos.

O objetivo final da operação é resgatar o valor associado a esses cartões, vender os cartões para outros atores ameaçadores em mercados negros ou usar “mulas” para resgatar os cartões-presente.

O direcionamento criminoso dos portais de cartões-presente marca uma evolução tática do ator ameaçador, que anteriormente se envolveu em roubar dados de cartão de pagamento, usando malware em dispositivos de ponto de venda (POS).

A fabricante do Windows observou um aumento de 30% na atividade de intrusão do Storm-0539 entre março e maio de 2024, descrevendo os invasores como aproveitando seu profundo conhecimento da nuvem para “conduzir um reconhecimento sobre os processos de emissão de cartões-presente de uma organização”.

No início deste mês, o Federal Bureau of Investigation (FBI) divulgou um aviso [PDF] alertando sobre ataques de smishing perpetrados pelo grupo visando os departamentos de cartões-presente de corporações de varejo usando um kit de phishing sofisticado para contornar a autenticação multifatorial (MFA).

“Em uma instância, uma corporação detectou a atividade fraudulenta de cartões-presente do Storm-0539 em seu sistema e instituiu mudanças para evitar a criação de cartões-presente fraudulentos”, disse o FBI.

“Atores do Storm-0539 continuaram seus ataques de smishing e voltaram a acessar os sistemas corporativos. Então, os atores mudaram de tática para localizar cartões-presente não resgatados e mudaram os endereços de e-mail associados para os controlados pelos atores do Storm-0539 para resgatar os cartões-presente.”

Vale ressaltar que as atividades do ator ameaçador vão além de roubar as credenciais de login do pessoal do departamento de cartões-presente. Seus esforços também se estendem à aquisição de senhas e chaves seguras do shell (SSH), que podem ser vendidas para obter ganhos financeiros ou usadas para ataques subsequentes.

Outra tática adotada pelo Storm-0539 envolve o uso de listas de e-mails internas de empresas legítimas para disseminar mensagens de phishing após ganhar acesso inicial, adicionando uma aparência de autenticidade aos ataques. Também foi encontrado criando contas gratuitas ou de estudante em plataformas de serviços de nuvem para configurar novos sites.

O abuso da infraestrutura de nuvem, incluindo a falsa representação de organizações sem fins lucrativos legítimas para provedores de serviços de nuvem, é um sinal de que grupos com motivação financeira estão adotando táticas de atores patrocinados por estados avançados para camuflar suas operações e permanecerem indetectados.

A Microsoft incentiva as empresas que emitem cartões-presente a tratarem seus portais de cartões-presente como alvos de alto valor monitorando logins suspeitos.

“As organizações também devem considerar complementar a autenticação multifatorial com políticas de acesso condicional, onde as solicitações de autenticação são avaliadas usando sinais adicionais baseados em identidade, como informações de localização de endereço IP ou status do dispositivo, entre outros”, observou a empresa.

“A operação Storm-0539 é persuasiva devido ao uso de e-mails comprometidos legítimos pelos atores e à imitação de plataformas legítimas usadas pela empresa-alvo.”