Você está visualizando atualmente Pesquisadores da Microsoft Descobrem um Golpe Antigo com Renovação para a Era da Nuvem: Hackeando Portais de Varejistas para Fazer Chover Cartões de Presente

Pesquisadores da Microsoft Descobrem um Golpe Antigo com Renovação para a Era da Nuvem: Hackeando Portais de Varejistas para Fazer Chover Cartões de Presente

Um grupo de ameaças marroquino aprimorou o clássico golpe do cartão de presente, visando não os clientes do varejo, mas os sistemas que registram os cartões, permitindo-lhes “imprimir” dinheiro à vontade.

Os golpistas têm usado táticas de engenharia social para convencer pessoas comuns a comprar cartões-presente para eles há anos. O manual de instruções não mudou muito ao longo do tempo, pois não precisou; é tão eficaz e lucrativo hoje como sempre foi.

É por isso que a mais recente campanha do grupo de cibercrime chamado Storm-0539, também conhecido como Atlas Lion, se destaca: eles pegaram algo que não estava quebrado e o tornaram melhor. Em vez de ter que trabalhar com vítimas individuais – sempre trabalhoso, com potencialmente baixo retorno -, os atacantes comprometem os próprios varejistas, especificamente os portais que eles usam para emitir cartões-presente.

Veja como funciona, de acordo com um novo relatório da Microsoft.

Em vez de clientes do varejo, o Storm-0539 mira em funcionários do varejo com mensagens de phishing. O objetivo da engenharia social é comprometer as contas de seus empregadores.

Usando a conta de um funcionário, os cibercriminosos podem começar a ver e se mover lateralmente dentro da rede de um varejista. Às vezes, eles usarão o primeiro funcionário para comprometer outros, com tentativas de phishing enviadas através de listas de e-mail internas que imitam as normas comerciais usuais da empresa. Caso contrário, com acesso a contas de privilégio suficiente, eles roubam informações sobre vários serviços e contas que podem usar para, eventualmente, alcançar a parte do sistema que lida com os cartões-presente.

“Storm-0539 coleta informações sobre uma ampla variedade de recursos em ambientes-alvo para avançar em direção ao seu objetivo de roubar cartões-presente”, observa Emiel Haeghebaert, analista sênior de caça no Microsoft Threat Intelligence Center. Isso pode incluir recursos relacionados ao OneDrive, Salesforce, Citrix e outros, diz ele.

Como a Microsoft conta, o reconhecimento e as habilidades na nuvem do Storm-0539 estão no nível do que ela observa de atores de nível estatal.

Por meio de todos os meios necessários para chegar lá, o Storm-0539 atravessa os ambientes dos varejistas até obter acesso ao portal de cartões-presente deles. Usando uma conta de funcionário comprometida, ele cria o maior número possível de novos cartões-presente, no valor de pouco menos do limite de valor em dólares arbitrário que o varejista definiu, e o mais rápido possível. Em seguida, ele os resgata, ou usa “mulas” para resgatá-los, ou os vende para outros atores maliciosos na Dark Web.

O momento do relatório da Microsoft é deliberado. Previsivelmente, o Storm-0593 sempre aumenta em antecipação às temporadas de férias: verão, Dia do Trabalho, Ação de Graças, Black Friday, feriados de inverno e, neste fim de semana, Dia da Memória. A atividade maliciosa do grupo de setembro a dezembro de 2023, por exemplo, foi 60% maior do que o habitual, e aumentou 30% nos últimos meses.

Para se preparar para esse ator de ameaças, e os outros que inevitavelmente o seguirão, a Microsoft recomenda que as organizações adotem autenticação multifator resistente a phishing (MFA), medidas rígidas de redefinição de senhas, reprodução de tokens e outras proteções contra fraudes, princípios de privilégios mínimos, bem como educar os funcionários sobre os riscos desse golpe.

A diferença que a boa segurança faz aqui já foi comprovada. Graças à colaboração e compartilhamento de informações, a Microsoft relata: “Observamos um aumento na capacidade de grandes varejistas de afastar efetivamente a atividade do Storm-0539 nos últimos meses.”