Une campagne de fraude tentaculaire a émergé qui cible les grandes entreprises émettrices de cartes-cadeaux, et les chercheurs affirment que les attaquants ne sont ni peu sophistiqués ni de petite envergure. Au lieu de cela, un groupe opérant à partir du Maroc a discrètement infiltré les systèmes cloud des entreprises, exploité les outils d’identité et émis des cartes-cadeaux de grande valeur pour la revente. La campagne a été surnommée « Jingle Thief » par l’équipe de sécurité de Unit 42 , la branche de recherche sur les cybermenaces de Palo Alto Networks.
L’escroquerie commence par des moyens relativement simples. Les leurres d’hameçonnage et de smishing (hameçonnage par SMS) sont envoyés aux employés d’entreprises mondiales de vente au détail et de services aux consommateurs. Les attaquants se font passer pour des entités familières et de confiance (par exemple, des organisations à but non lucratif, des avis informatiques internes ou des mises à jour du système de billetterie) pour inciter les victimes à transmettre des informations d’identification. Une fois à l’intérieur de l’environnement cloud d’une entreprise, ils procèdent à la reconnaissance, au mouvement latéral et à la persistance.
Ce qui est remarquable, c’est le peu de logiciels malveillants utilisés. Les attaquants s’appuient massivement sur l’utilisation abusive de l’identité cloud plutôt que sur l’utilisation de code malveillant sur les terminaux. Ils inscrivent des appareils malveillants, enregistrent des applications d’authentification malveillantes, définissent des règles de boîte de réception qui transmettent les e-mails d’approbation sensibles aux comptes contrôlés par les attaquants et accèdent discrètement aux partages de documents qui suivent les flux de travail et les systèmes d’émission de cartes-cadeaux.
Lors d’un incident, les acteurs de la menace ont maintenu l’accès dans un seul environnement d’entreprise pendant environ dix mois et ont compromis plus de soixante comptes d’utilisateurs.
La séquence suit généralement trois phases :
Compromission initiale : un e-mail de phishing entraîne l’extraction d’informations d’identification. L’URL peut sembler légitime, mais en fait, elle dirige l’utilisateur vers un site hostile.
Reconnaissance du cloud et mouvement latéral : après s’être connectés, les attaquants explorent SharePoint, OneDrive, Exchange et d’autres ressources, à la recherche de flux de travail d’émission de cartes-cadeaux, de chaînes d’approbation, d’exportations de tickets, de guides d’accès VPN et de feuilles de calcul internes.
Exécution de la fraude : une fois l’application ou le flux de travail approprié identifié, les attaquants émettent des cartes-cadeaux, souvent de grande valeur, en utilisant les informations d’identification compromises. Ils convertissent ensuite ces cartes en espèces ou les transfèrent via les canaux du marché gris. Tout cela se fait avec un minimum de traces de journaux et sans logiciels malveillants.
L’un des principaux avantages pour les fraudeurs est la façon dont les cartes-cadeaux sont traitées en interne par de nombreuses entreprises. Étant donné que ces systèmes sont souvent en dehors des contrôles financiers de base, ils sont moins fréquemment surveillés et enregistrés que les systèmes bancaires. Cela donne aux attaquants à la fois une opportunité et une couverture.
Les cartes-cadeaux sont des cibles idéales
Plusieurs facteurs font des cartes-cadeaux une cible particulièrement tentante pour les opérations de cyberfraude. Tout d’abord, ils nécessitent un minimum de données personnelles pour être échangés et peuvent être convertis en espèces ou utilisés de manière anonyme, ce qui les rend difficiles à retracer. Deuxièmement, les systèmes d’émission sont souvent dotés d’autorisations internes étendues et d’une surveillance plus faible que les systèmes de cartes de paiement. Troisièmement, la fraude par carte-cadeau échappe souvent à l’attention immédiate des équipes de risque financier, car les montants peuvent apparaître comme des opérations légitimes jusqu’à ce qu’ils s’intensifient.
Le calendrier saisonnier joue également un rôle. La campagne « Jingle Thief » doit son nom à l’activité accrue pendant les périodes de vacances, lorsque les émissions de cartes-cadeaux sont élevées et que le personnel peut être moins vigilant. Les attaquants programment leurs incursions lorsque les défenses sont mises à rude épreuve.
Le groupe de hackers marocain et ses tactiques
Les chercheurs de l’Unité 42 attribuent cette campagne, avec un niveau de confiance modéré, à un groupe d’acteurs malveillants suivi sous le numéro CL-CRI-1032. On pense que ce groupe chevauche les groupes connus sous le nom d’Atlas Lion et de Storm-0539, tous deux basés au Maroc et actifs depuis au moins fin 2021.
Ce qui est inhabituel, c’est la façon dont ils se comportent de la même manière que les groupes parrainés par l’État : de longues durées de séjour, une reconnaissance intensive et des opérations natives dans le cloud. Mais ils sont motivés financièrement plutôt que politiquement. Ils évitent délibérément les attaques de logiciels malveillants et de terminaux, car ceux-ci augmentent le bruit et le risque de détection. Ils préfèrent opérer entièrement à l’intérieur de la couche identitaire.
Un autre exemple de leur furtivité est la façon dont ils abusent de l’enregistrement de l’appareil. Après avoir obtenu des informations d’identification, ils inscrivent leurs propres machines virtuelles ou appareils sous le domaine de l’organisation cible, en tirant souvent parti de l’infrastructure cloud pour se fondre dans la masse. Une fois que l’appareil malveillant fait partie de l’environnement, il se comporte comme un point de terminaison d’entreprise légitime.
Ce que les entreprises doivent faire pour se défendre
Pour les organisations du commerce de détail, des services aux consommateurs ou de toute entreprise émettant des cartes-cadeaux, le modèle de risque a changé. Les flux de travail d’identité et de cloud sont désormais en première ligne. Les défenseurs doivent se concentrer sur la prévention des logiciels malveillants et l’utilisation de l’identité, l’enregistrement des appareils, la visibilité des flux de travail internes et la détection à l’échelle du domaine.
Ce qui a commencé comme un domaine de fraude relativement peu risqué (vol de codes de cartes-cadeaux) est devenu un crime sophistiqué basé sur le cloud. La campagne Jingle Thief montre comment les attaquants exploitent désormais les systèmes d’identité, les charges de travail cloud et les flux de travail internes pour voler des actifs monétisés comme de l’argent. Les entreprises qui émettent des cartes-cadeaux doivent désormais considérer ces systèmes comme des zones de risque financier majeur.
Si vous faites partie d’une organisation qui s’occupe de l’émission de cartes-cadeaux, le message est clair : l’ennemi est peut-être déjà à l’intérieur de votre infrastructure d’identité, en train de cartographier patiemment vos flux de travail cloud et d’entreprise. Ce que vous pensiez être une commodité administrative peut maintenant être une porte d’entrée pour la fraude.