Ha surgido una campaña de fraude en expansión que se dirige a las grandes empresas que emiten tarjetas de regalo, y los investigadores dicen que los atacantes no son poco sofisticados ni de poca monta. En cambio, un grupo que opera desde Marruecos se ha infiltrado silenciosamente en los sistemas corporativos en la nube, ha explotado las herramientas de identidad y ha emitido tarjetas de regalo de alto valor para su reventa. La campaña ha sido apodada “Jingle Thief” por el equipo Unit 42 de seguridad de , el brazo de investigación de amenazas cibernéticas de Palo Alto Networks.
La estafa comienza con medios relativamente simples. Los señuelos de phishing y smishing (phishing basado en SMS) se envían a los empleados de empresas minoristas y de servicios al consumidor globales. Los atacantes se hacen pasar por entidades familiares y confiables (por ejemplo, organizaciones sin fines de lucro, avisos internos de TI o actualizaciones del sistema de tickets) para engañar a las víctimas para que entreguen las credenciales. Una vez dentro del entorno de nube de una empresa, proceden con reconocimiento, movimiento lateral y persistencia.
Lo que es notable es la poca cantidad de malware que se utiliza. Los atacantes confían abrumadoramente en el abuso de identidad en la nube en lugar de dejar caer código malicioso en los puntos finales. Inscriben dispositivos no autorizados, registran aplicaciones de autenticación maliciosas, establecen reglas de bandeja de entrada que reenvían correos electrónicos de aprobación confidenciales a cuentas controladas por atacantes y acceden silenciosamente a recursos compartidos de documentos que rastrean los flujos de trabajo de tarjetas de regalo y los sistemas de emisión.
En un incidente, los actores de amenazas mantuvieron el acceso en un solo entorno empresarial durante aproximadamente diez meses y comprometieron más de sesenta cuentas de usuario.
La secuencia suele seguir tres fases:
Compromiso inicial: Un correo electrónico de phishing conduce a la extracción de credenciales. La URL puede parecer legítima, pero de hecho dirige al usuario a un sitio hostil.
Reconocimiento en la nube y movimiento lateral: después de iniciar sesión, los atacantes exploran SharePoint, OneDrive, Exchange y otros recursos, buscando flujos de trabajo de emisión de tarjetas de regalo, cadenas de aprobación, exportaciones de tickets, guías de acceso VPN y hojas de cálculo internas.
Ejecución de fraude: una vez que se identifica la aplicación o el flujo de trabajo correctos, los atacantes emiten tarjetas de regalo, a menudo de alto valor, utilizando las credenciales comprometidas. Luego convierten esas tarjetas en efectivo o las mueven a través de canales del mercado gris. Todo esto se hace con un mínimo de rastros de registro y sin malware.
Una de las principales ventajas para los estafadores es cómo muchas empresas tratan internamente las tarjetas de regalo. Debido a que estos sistemas a menudo se encuentran fuera de los controles financieros básicos, se monitorean y registran con menos frecuencia que los sistemas bancarios. Eso les da a los atacantes tanto oportunidades como cobertura.
Las tarjetas de regalo son objetivos ideales
Varios factores hacen que las tarjetas de regalo sean un objetivo particularmente tentador para las operaciones de fraude cibernético. Primero, requieren datos personales mínimos para canjear y pueden convertirse en efectivo o usarse de forma anónima, lo que dificulta su rastreo. En segundo lugar, los sistemas de emisión a menudo cuentan con amplios permisos internos y un monitoreo más débil que los sistemas de tarjetas de pago. En tercer lugar, el fraude a través de tarjetas de regalo a menudo escapa a la atención inmediata de los equipos de riesgo financiero porque los montos pueden parecer operaciones legítimas hasta que aumentan.
El tiempo estacional también juega un papel. La campaña “Jingle Thief” lleva el nombre de la mayor actividad durante los períodos de vacaciones cuando la emisión de tarjetas de regalo es alta y el personal puede estar menos atento. Los atacantes programan sus incursiones para cuando las defensas están estiradas.
El grupo de hackers marroquí y sus tácticas
Los investigadores de Unit 42 atribuyen esta campaña, con confianza moderada, a un grupo de actores de amenazas rastreado como CL-CRI-1032. Se cree que este grupo se superpone con los grupos conocidos como Atlas Lion y Storm-0539, ambos con sede en Marruecos y activos desde al menos finales de 2021.
Lo que es inusual es cómo se comportan de manera similar a los grupos patrocinados por el estado: largos tiempos de permanencia, reconocimiento pesado y operaciones nativas de la nube. Pero están motivados financieramente más que políticamente. Evitan deliberadamente el malware y los ataques de endpoints porque aumentan el ruido y el riesgo de detección. Prefieren operar completamente dentro de la capa de identidad.
Otro ejemplo de su sigilo es cómo abusan del registro de dispositivos. Después de obtener las credenciales, inscriben sus propias máquinas virtuales o dispositivos bajo el dominio de la organización de destino, a menudo aprovechando la infraestructura en la nube para integrarse. Una vez que el dispositivo malicioso forma parte del entorno, se comporta como un punto final corporativo legítimo.
Lo que las empresas deben hacer para defenderse
Para las organizaciones minoristas, de servicios al consumidor o cualquier empresa que emita tarjetas de regalo, el modelo de riesgo ha cambiado. Los flujos de trabajo de identidad y en la nube son ahora la primera línea. Los defensores deben centrarse en la prevención de malware y el uso de identidades, el registro de dispositivos, la visibilidad del flujo de trabajo interno y la detección de todo el dominio.
Lo que comenzó como un dominio de fraude de riesgo relativamente bajo (robo de códigos de tarjetas de regalo) se ha convertido en un sofisticado delito basado en la nube. La campaña Jingle Thief demuestra cómo los atacantes ahora explotan los sistemas de identidad, las cargas de trabajo en la nube y los flujos de trabajo internos para robar activos monetizados como dinero en efectivo. Las empresas que emiten tarjetas de regalo ahora deben ver esos sistemas como áreas de riesgo financiero importantes.
Si eres parte de una organización que maneja la emisión de tarjetas de regalo, el mensaje es claro: es posible que el enemigo ya esté dentro de tu infraestructura de identidad, mapeando pacientemente tus flujos de trabajo corporativos y en la nube. Lo que pensabas que era una conveniencia administrativa ahora puede ser una puerta de entrada para el fraude.