Ciberseguridad 360 | Grupo marroquí logra extraer 100 mil dólares diarios mediante fraude con tarjetas de regalo

Microsoft est� llamando la atenci�n sobre un grupo de ciberdelincuentes con sede en Marruecos apodado Storm-0539, que est� detr�s de fraudes y robos de tarjetas regalo a trav�s de sofisticados ataques de phishing por correo electr�nico y SMS.

�Su principal motivaci�n es robar tarjetas regalo y obtener beneficios vendi�ndolas online a precios rebajados�, afirma la compa��a en su �ltimo informe Cyber Signals. �Hemos visto algunos ejemplos en los que el actor de la amenaza ha robado hasta 100.000 d�lares al d�a en determinadas empresas�.

Storm-0539 fue se�alado por primera vez por Microsoft a mediados de diciembre de 2023, vincul�ndolo a campa�as de ingenier�a social antes de la temporada de vacaciones de fin de a�o para robar credenciales y tokens de sesi�n de las v�ctimas a trav�s de p�ginas de phishing adversary-in-the-middle (AitM).

La banda, tambi�n llamada Atlas Lion y activa desde al menos finales de 2021, es conocida por abusar despu�s del acceso inicial para registrar sus propios dispositivos y saltarse la autenticaci�n y obtener acceso persistente, conseguir privilegios elevados y comprometer servicios relacionados con tarjetas regalo creando tarjetas regalo falsas para facilitar el fraude.

Adem�s, las cadenas de ataque est�n dise�adas para obtener acceso encubierto al entorno en la nube de la v�ctima, lo que permite al actor de la amenaza llevar a cabo un amplio reconocimiento y utilizar la infraestructura como arma para lograr sus objetivos finales. Los objetivos de la campa�a incluyen grandes minoristas, marcas de lujo y conocidos restaurantes de comida r�pida.

El objetivo final de la operaci�n es canjear el valor asociado a esas tarjetas, vender las tarjetas regalo a otros actores de amenazas en mercados negros o utilizar mulas de dinero para cobrar las tarjetas regalo.

El ataque criminal a portales de tarjetas regalo supone una evoluci�n t�ctica de la amenaza, que ya se hab�a dedicado anteriormente a robar datos de tarjetas de pago mediante el uso de malware en dispositivos de punto de venta (TPV).

El fabricante de Windows dijo que observ� un aumento del 30% en la actividad de intrusi�n Storm-0539 entre marzo y mayo de 2024, describiendo a los atacantes como el aprovechamiento de su profundo conocimiento de la nube para �llevar a cabo el reconocimiento de los procesos de emisi�n de tarjetas de regalo de una organizaci�n.�

A principios de este mes, la Oficina Federal de Investigaci�n de Estados Unidos (FBI) public� un aviso [PDF] en el que advert�a de los ataques de smishing perpetrados por el grupo contra los departamentos de tarjetas regalo de empresas minoristas mediante un sofisticado kit de phishing para eludir la autenticaci�n multifactor (MFA).

�En un caso, una empresa detect� la actividad fraudulenta de Storm-0539 con tarjetas regalo en su sistema e introdujo cambios para evitar la creaci�n de tarjetas regalo fraudulentas�, afirma el FBI.

�Los actores de Storm-0539 continuaron sus ataques de smishing y recuperaron el acceso a los sistemas corporativos. Luego, los actores pivotaron t�cticas para localizar tarjetas de regalo no canjeadas, y cambiaron las direcciones de correo electr�nico asociadas a las controladas por los actores Storm-0539 con el fin de canjear las tarjetas de regalo.�

Cabe se�alar que las actividades de los actores de la amenaza van m�s all� del robo de las credenciales de inicio de sesi�n del personal del departamento de tarjetas de regalo; sus esfuerzos tambi�n se extienden a la adquisici�n de contrase�as y claves de shell seguro (SSH), que luego podr�an venderse para obtener beneficios econ�micos o utilizarse para ataques posteriores.

Otra t�ctica adoptada por Storm-0539 consiste en utilizar listas de correo internas leg�timas de la empresa para difundir mensajes de phishing al obtener el acceso inicial, lo que a�ade un barniz de autenticidad a los ataques. Tambi�n se ha detectado la creaci�n de pruebas gratuitas o cuentas de estudiante en plataformas de servicios en la nube para crear nuevos sitios web.

El uso indebido de la infraestructura en la nube, incluso suplantando la identidad de organizaciones sin �nimo de lucro leg�timas ante proveedores de servicios en la nube, es un indicio de que grupos con motivaciones econ�micas est�n tomando prestada una p�gina de los libros de jugadas de actores avanzados patrocinados por el Estado para camuflar sus operaciones y pasar desapercibidos.

Microsoft insta a las empresas que emiten tarjetas regalo a que traten sus portales de tarjetas regalo como objetivos de alto valor mediante la vigilancia de inicios de sesi�n sospechosos.

�Las organizaciones tambi�n deben considerar complementar MFA con pol�ticas de acceso condicional donde las solicitudes de autenticaci�n se eval�an utilizando se�ales adicionales basadas en la identidad, como la informaci�n de ubicaci�n de la direcci�n IP o el estado del dispositivo, entre otros�, se�al� la compa��a.

�Las operaciones Storm-0539 son persuasivas debido al uso por parte del actor de correos electr�nicos leg�timos comprometidos y la imitaci�n de plataformas leg�timas utilizadas por la empresa objetivo.�

El desarrollo se produce cuando Enea revel� detalles de campa�as criminales que explotan servicios de almacenamiento en la nube como Amazon S3, Google Cloud Storage, Backblaze B2 e IBM Cloud Object Storage para estafas de tarjetas de regalo basadas en SMS que redirigen a los usuarios a sitios web maliciosos con el objetivo de saquear informaci�n sensible.

�La URL que enlaza con el almacenamiento en la nube se distribuye a trav�s de mensajes de texto, que parecen aut�nticos y, por tanto, pueden eludir las restricciones del cortafuegos�, explica Manoj Kumar, investigador de Enea.

�Cuando los usuarios de m�viles hacen clic en estos enlaces, que contienen dominios conocidos de plataformas en la nube, son dirigidos al sitio web est�tico almacenado en el cubo de almacenamiento. Este sitio web luego reenv�a o redirige autom�ticamente a los usuarios a las URL de spam incrustadas o URL generadas din�micamente utilizando JavaScript, todo sin la conciencia del usuario.�

A principios de abril de 2023, Enea tambi�n descubri� campa�as que implican URL construidas utilizando la direcci�n leg�tima de Google, �google.com/amp�, que luego se combina con caracteres codificados para ocultar la URL de estafa.

�Este tipo de confianza est� siendo explotada por actores maliciosos que intentan enga�ar a los abonados m�viles escondi�ndose detr�s de URL aparentemente leg�timas�, se�al� Kumar. �Las t�cnicas de los atacantes pueden incluir atraer a los abonados a sus sitios web bajo falsos pretextos, y robar informaci�n sensible como detalles de tarjetas de cr�dito, credenciales de correo electr�nico o redes sociales, y otros datos personales.�

Fuente: thehackernews