Microsoft está advirtiendo sobre el grupo de cibercriminales Storm-0539, con sede en Marruecos, que está involucrado en actividades de fraude con tarjetas de regalo y robo a través de sofisticados ataques de phishing por correo electrónico y SMS.
La compañía indica que Storm-0539 tiene como objetivo principal robar tarjetas de regalo para luego venderlas en línea a precios descontados, y ha llegado a robar hasta $100,000 al día en ciertas empresas.
Identificado por Microsoft a mediados de diciembre de 2023, Storm-0539 está vinculado a campañas de ingeniería social antes de la temporada navideña para el robo de credenciales de víctimas a través de páginas de phishing de adversario-en-el-medio (AitM). La banda, también conocida como Atlas Lion y activa desde finales de 2021, aprovecha el acceso inicial para obtener acceso persistente, ganar privilegios elevados y comprometer servicios relacionados con tarjetas de regalo falsas.
La operación criminal evoluciona constantemente, con un cambio táctico hacia el fraude con tarjetas de regalo mediante acceso encubierto al entorno en la nube de la víctima, lo que les permite llevar a cabo una extensa vigilancia y utilizar la infraestructura para sus actividades delictivas. Los objetivos de la campaña incluyen grandes minoristas, marcas de lujo y conocidas cadenas de comida rápida.
El fin último del grupo es canjear el valor asociado con las tarjetas, venderlas en mercados negros o utilizar mulas de dinero para redimir las tarjetas de regalo. Este giro táctico representa una evolución de las actividades previas, que se centraban en el robo de datos de tarjetas de pago utilizando malware en dispositivos de punto de venta (PoS).
Microsoft ha observado un aumento del 30% en la actividad de intrusión de Storm-0539 entre marzo y mayo de 2024, describiendo a los atacantes como aprovechando su profundo conocimiento de la nube para «realizar una vigilancia de los procesos de emisión de tarjetas de regalo de una organización».
La Oficina Federal de Investigaciones de EE. UU. (FBI) alertó sobre ataques de smishing perpetrados por el grupo, dirigidos a los departamentos de tarjetas de regalo de corporaciones minoristas. La advertencia señala que los atacantes cambiaron sus tácticas para localizar tarjetas de regalo no canjeadas y modificar las direcciones de correo electrónico para canjear las tarjetas.
Además del robo de credenciales, Storm-0539 se dedica a adquirir contraseñas y claves seguras (SSH) para su venta o uso en ataques posteriores. Estas actividades van más allá del robo de datos de inicio de sesión del personal del departamento de tarjetas de regalo, alcanzando incluso la creación de pruebas gratuitas o cuentas de estudiante en plataformas de servicios en la nube.
El grupo también abusa de la infraestructura en la nube, suplantando a organizaciones legítimas para pasar desapercibidos mientras operan. Microsoft insta a las empresas emisoras de tarjetas de regalo a considerar complementar la autenticación de múltiples factores con políticas de acceso condicional para proteger sus portales.
El revelación de Enea sobre campañas criminales que explotan servicios de almacenamiento en la nube para estafas de tarjetas de regalo basadas en SMS, demuestra la escala de los esfuerzos delictivos en el entorno digital. Las tácticas sofisticadas como el smishing y la suplantación de URLs legítimas subrayan la necesidad de medidas de seguridad más estrictas.
Vía The Hacker News
