A Microsoft está alertando sobre um grupo cibercriminoso baseado no Marrocos conhecido como “Storm-0539”. A gangue está por trás de um esquema de fraudes de vale-presente, incluindo roubos via ataques de phishing altamente sofisticados – tanto por e-mail, quanto por SMS.
“A motivação principal é roubar vales-presentes e lucrar ao vendê-los online com uma taxa de desconto”, declarou a companhia em seu último relatório. “Identificamos alguns exemplos em que o cibercriminoso roubou mais de US$100 mil por dia em determinadas empresas.”
A Storm-0539 foi notada pela 1ª vez em meados de dezembro de 2023 pela própria Microsoft. Na ocasião, a gangue estava ligada a campanhas de engenharia social para roubar credenciais e tokens de sessão das vítimas na temporada de fim do ano. Para isso, páginas de phishing de adversary-in-the-middle (AitM) foram utilizadas como estratégia.
Leia também 👉🏽 Ataque de engenharia social: o que é, principais tipos e casos
O grupo cibercriminoso, também conhecido como “Atlas Lion” e ativo pelo menos desde o final de 2021, é conhecido por abusar do acesso inicial para registrar seus próprios dispositivos, ultrapassando a autenticação. Com isso, eles conseguem obter acesso persistente, ganhar privilégios elevados e comprometer os serviços relacionados aos vales-presentes ao criar cartões falsos para facilitar a fraude.
A cadeias de ataque da gangue são projetadas também para obter acesso secreto ao ambiente de nuvem da vítima, o que permite realizar um reconhecimento extensivo e transformar a infraestrutura em uma “arma” para alcançar os objetivos finais.
Vale notar que os alvos da campanha hacker incluem grandes varejistas, marcas de luxo e famosas redes de fast-food.
Como objetivo final, a gangue visa resgatar o valor relativo aos vales-presentes, vendendo-os a outros cibercriminosos no mercado negro ou utilizando agentes para sacar o valor dos cartões.
Mirar o segmento dos vales-presentes representa uma evolução tática do grupo marroquino, que antes se dedicava a roubar dados de pagamento de cartão com o uso de malware em dispositivos de ponto-de-venda (PdV).
De acordo com a Microsoft, foi observado um aumento de 30% na atividade de intrusão da Storm-0539 entre março e maio de 2024. A companhia declarou que os cibercriminosos estão alavancando seu conhecimento da nuvem para “realizar o estudo dos processos de emissão de cartões-presente de uma organização”.
No começo de maio de 2024, o FBI lançou um comunicado alertando sobre os ataques de smishing realizados pela gangue. Essas ameaças visam os departamentos de vales-presentes de empresas de varejo usando um kit sofisticado de phishing para burlar a autenticação multifator (MFA).
Com informações de: The Hacker News
Imagem: Pixabay
