A Microsoft está chamando a atenção para um grupo de cibercrime com base no Marrocos chamado Storm-0539, que está por trás de fraudes e roubos de cartões-presente por meio de ataques de phishing altamente sofisticados por e-mail e SMS.

“Sua motivação principal é roubar cartões-presente e lucrar vendendo-os online a uma taxa com desconto”, disse a empresa em seu último relatório Cyber Signals. “Já vimos alguns exemplos em que o ator da ameaça roubou até US$ 100.000 por dia em certas empresas.”

O Storm-0539 foi destacado pela primeira vez pela Microsoft no meio de dezembro de 2023, relacionando-o a campanhas de engenharia social antes da temporada de férias de final de ano para roubar credenciais de vítimas e tokens de sessão por meio de páginas de phishing de adversário no meio (AitM).

A gangue, também chamada de Atlas Lion e ativa desde pelo menos o final de 2021, é conhecida por abusar do acesso inicial para registrar seus próprios dispositivos, contornar a autenticação e obter acesso persistente, ganhar privilégios elevados e comprometer serviços relacionados a cartões-presente criando cartões-presente falsos para facilitar fraudes.

As cadeias de ataque são ainda projetadas para obter acesso oculto ao ambiente de nuvem de uma vítima, permitindo ao ator da ameaça realizar uma extensa reconhecimento e armar a infraestrutura para atingir seus objetivos finais. Os alvos da campanha incluem grandes varejistas, marcas de luxo e restaurantes fast-food conhecidos.

O objetivo final da operação é resgatar o valor associado a esses cartões, vender os cartões-presente para outros atores de ameaças nos mercados negros ou usar intermediários para resgatar os cartões-presente.

O direcionamento criminoso dos portais de cartões-presente marca uma evolução tática do ator da ameaça, que anteriormente se envolveu em roubar dados de cartões de pagamento usando malware em dispositivos de ponto de venda (PDVs).

A fabricante do Windows declarou que observou um aumento de 30% na atividade de intrusão do Storm-0539 entre março e maio de 2024, descrevendo os atacantes como aproveitando seu profundo conhecimento da nuvem para “realizar reconhecimento nos processos de emissão de cartões-presente de uma organização”.

No início deste mês, o Bureau Federal de Investigação dos EUA (FBI) emitiu um aviso, alertando sobre ataques de smishing perpetrados pelo grupo visando os departamentos de cartões-presente de empresas de varejo usando um kit de phishing sofisticado para contornar autenticação de múltiplos fatores (MFA).

“Em um caso, uma empresa detectou a atividade fraudulenta de cartões-presente do Storm-0539 em seu sistema e implementou mudanças para evitar a criação de cartões-presente fraudulentos”, disse o FBI.

“Os atores do Storm-0539 continuaram seus ataques de smishing e recuperaram o acesso aos sistemas corporativos. Em seguida, eles mudaram de tática para localizar cartões-presente não resgatados e alteraram os endereços de e-mail associados para os controlados pelos atores do Storm-0539 a fim de resgatar os cartões-presente.”

Vale ressaltar que as atividades do ator da ameaça vão além de roubar as credenciais de login do pessoal do departamento de cartões-presente. Seus esforços também se estendem à aquisição de senhas e chaves seguras de shell (SSH), que podem então ser vendidas para ganho financeiro ou usadas para ataques futuros.

Uma outra tática adotada pelo Storm-0539 envolve o uso de listas de e-mail internas da empresa para disseminar mensagens de phishing após obter acesso inicial, adicionando uma aparência de autenticidade aos ataques. Também foi descoberto que eles criam testes gratuitos ou contas de estudantes em plataformas de serviços de nuvem para configurar novos websites.

O abuso da infraestrutura de nuvem, incluindo a impersonificação de organizações não-lucrativas legítimas para provedores de serviços de nuvem, é um sinal de que grupos motivados financeiramente estão pegando emprestado estratégias de atores patrocinados pelo estado para camuflar suas operações e permanecerem não detectados.

A Microsoft está instando empresas que emitem cartões-presente a tratarem seus portais de cartões-presente como alvos de alto valor monitorando logins suspeitos.

“As organizações também devem considerar complementar o MFA com políticas de acesso condicional, onde as solicitações de autenticação são avaliadas usando sinais adicionais baseados em identidade, como informações de localização do endereço IP ou status do dispositivo, entre outros”, observou a empresa.

“As operações do Storm-0539 são persuasivas devido ao uso de e-mails comprometidos legítimos e à imitação de plataformas legítimas usadas pela empresa alvo.”