Tech

Grupo marroquino de crimes cibernéticos rouba até US$ 100 mil diariamente por meio de fraude com vale-presente

Photo of LifeTechWeb LifeTechWebMay 27, 2024
0 4 minutes read
gift card
Crime cibernético

A Microsoft está chamando a atenção para um grupo de crimes cibernéticos com sede em Marrocos apelidado Tempestade-0539 que está por trás da fraude e roubo de cartões-presente por meio de ataques de phishing altamente sofisticados por e-mail e SMS.

“Sua principal motivação é roubar cartões-presente e lucrar vendendo-os on-line com desconto”, disse a empresa em seu último relatório Cyber ​​​​Alerts. “Vimos alguns exemplos em que o ator da ameaça roubou até US$ 100 mil por dia em certas empresas”.

Storm-0539 foi destacado pela primeira vez pela Microsoft em meados de dezembro de 2023, vinculando-o a campanhas de engenharia social antes da temporada de férias de ultimate de ano para roubar credenciais e tokens de sessão das vítimas por meio de páginas de phishing de adversário no meio (AitM).

A gangue, também chamada de Atlas Lion e ativa pelo menos desde o ultimate de 2021, é conhecida por abusar do acesso inicial para registrar seus próprios dispositivos para ignorar a autenticação e obter acesso persistente, obter privilégios elevados e comprometer serviços relacionados a cartões-presente criando falsos cartões-presente para facilitar fraudes.

Cíber segurança

As cadeias de ataque são ainda projetadas para obter acesso secreto ao ambiente de nuvem da vítima, permitindo que o ator da ameaça notice um reconhecimento extensivo e transforme a infraestrutura em uma arma para atingir seus objetivos finais. Os alvos da campanha incluem grandes varejistas, marcas de luxo e restaurantes fast-food conhecidos.

O objetivo ultimate da operação é resgatar o valor associado a esses cartões, vender os cartões-presente a outros agentes de ameaças nos mercados negros ou usar mulas de dinheiro para sacar os cartões-presente.

A segmentação criminosa de portais de cartões-presente marca uma evolução tática do ator da ameaça, que já se envolveu no roubo de dados de cartões de pagamento usando malware em dispositivos de ponto de venda (PoS).

A fabricante do Home windows disse ter observado um aumento de 30% na atividade de intrusão Storm-0539 entre março e maio de 2024, descrevendo os invasores como aproveitando seu profundo conhecimento da nuvem para “realizar o reconhecimento dos processos de emissão de cartões-presente de uma organização”.

No início deste mês, o Federal Bureau of Investigation (FBI) dos EUA divulgou um alerta (PDF) sobre ataques smishing perpetrados pelo grupo visando os departamentos de cartões-presente de empresas de varejo usando um sofisticado package de phishing para contornar a autenticação multifator (MFA).

“Em um caso, uma empresa detectou atividades fraudulentas de cartões-presente do Storm-0539 em seu sistema e instituiu mudanças para evitar a criação de cartões-presente fraudulentos”, disse o FBI.

“Os atores do Storm-0539 continuaram seus ataques smishing e recuperaram o acesso aos sistemas corporativos. Em seguida, os atores mudaram as táticas para localizar cartões-presente não resgatados e alteraram os endereços de e-mail associados para aqueles controlados pelos atores do Storm-0539, a fim de resgatar os cartões-presente. “

hack

Vale a pena notar que as atividades do agente da ameaça vão além do roubo das credenciais de login do pessoal do departamento de cartões-presente; seus esforços também se estendem à aquisição de senhas e chaves de shell seguro (SSH), que poderiam então ser vendidas para ganho financeiro ou usadas para ataques subsequentes. .

Outra tática adotada pelo Storm-0539 envolve o uso de listas de e-mail internas legítimas da empresa para disseminar mensagens de phishing após obter acesso inicial, acrescentando um verniz de autenticidade aos ataques. Também foi encontrada a criação de avaliações gratuitas ou contas de estudantes em plataformas de serviços em nuvem para configurar novos websites.

O abuso da infra-estrutura de nuvem, incluindo a representação de organizações sem fins lucrativos legítimas para prestadores de serviços de nuvem, é um sinal de que grupos motivados financeiramente estão a pedir emprestada uma página de manuais de actores avançados patrocinados pelo Estado para camuflar as suas operações e permanecerem sem serem detectados.

A Microsoft está incentivando as empresas que emitem cartões-presente a tratarem seus portais de cartões-presente como alvos de alto valor, monitorando logins suspeitos.

“As organizações também devem considerar complementar a MFA com políticas de acesso condicional, onde as solicitações de autenticação são avaliadas usando sinais adicionais orientados por identidade, como informações de localização de endereço IP ou standing do dispositivo, entre outros”, observou a empresa.

“As operações Storm-0539 são persuasivas devido ao uso de e-mails legítimos comprometidos pelo ator e à imitação de plataformas legítimas usadas pela empresa visada.”

Cíber segurança

O desenvolvimento ocorre no momento em que a Enea revela detalhes de campanhas criminosas que exploram serviços de armazenamento em nuvem como Amazon S3, Google Cloud Storage, Backblaze B2 e IBM Cloud Object Storage para golpes de cartões-presente baseados em SMS que redirecionam usuários para websites maliciosos com o objetivo de saquear informações confidenciais. Informação.

“O URL vinculado ao armazenamento em nuvem é distribuído por meio de mensagens de texto, que parecem autênticas e podem, portanto, contornar as restrições do firewall”, disse o pesquisador da Enea, Manoj Kumar.

“Quando os usuários móveis clicam nesses hyperlinks, que contêm domínios de plataforma de nuvem bem conhecidos, eles são direcionados para o website estático armazenado no balde de armazenamento. Este website encaminha ou redireciona automaticamente os usuários para os URLs de spam incorporados ou URLs gerados dinamicamente usando JavaScript , tudo sem o conhecimento do usuário.”

No início de abril de 2023, a Enea também descobriu campanhas que envolviam URLs construídos usando o endereço legítimo do Google, “google.com/amp”, que é então combinado com caracteres codificados para ocultar o URL fraudulento.

“Esse tipo de confiança está sendo explorado por atores mal-intencionados que tentam enganar os assinantes móveis, escondendo-se atrás de URLs aparentemente legítimos”, destacou Kumar. “As técnicas dos invasores podem incluir atrair assinantes para seus websites sob falsos pretextos e roubar informações confidenciais, como detalhes de cartão de crédito, e-mail ou credenciais de mídia social e outros dados pessoais”.

Tags
Photo of LifeTechWeb LifeTechWebMay 27, 2024
0 4 minutes read
Photo of LifeTechWeb

LifeTechWeb

Related Articles

Apple Store

Anunciados os resultados do segundo trimestre da Apple e a recompra de ações de US$ 110 bilhões

May 3, 2024
Llama 3 on Groq Cloud offers insanely fast inference speeds

Llama 3 no Groq Cloud oferece velocidades de inferência incrivelmente rápidas

April 24, 2024
Funcionalidades do WhatsApp 2024

Desvendando as Melhores Funcionalidades do WhatsApp 2024 : Um Guia Abrangente

March 28, 2024
dorik review

Revisão de Dorik: O melhor construtor de websites de IA usando um immediate?

April 26, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button