Surgiu uma ampla campanha de fraude que tem como alvo grandes empresas que emitem cartões-presente, e os pesquisadores dizem que os invasores não são pouco sofisticados nem pequenos. Em vez disso, um grupo que opera no Marrocos se infiltrou silenciosamente nos sistemas de nuvem corporativa, explorou ferramentas de identidade e emitiu cartões-presente de alto valor para revenda. A campanha foi apelidada de “Jingle Thief” pela equipe Unit 42 de segurança da , o braço de pesquisa de ameaças cibernéticas da Palo Alto Networks.
O golpe começa com meios relativamente simples. As iscas de phishing e smishing (phishing baseado em SMS) são enviadas para funcionários de empresas globais de varejo e serviços ao consumidor. Os invasores se passam por entidades familiares e confiáveis (por exemplo, organizações sem fins lucrativos, avisos internos de TI ou atualizações do sistema de tíquetes) para induzir as vítimas a entregar credenciais. Uma vez dentro do ambiente de nuvem de uma empresa, eles prosseguem com reconhecimento, movimento lateral e persistência.
O que é notável é o quão pouco malware é usado. Os invasores dependem predominantemente do abuso de identidade na nuvem, em vez de descartar códigos maliciosos nos endpoints. Eles registram dispositivos não autorizados, registram aplicativos autenticadores maliciosos, definem regras de caixa de entrada que encaminham e-mails de aprovação confidenciais para contas controladas por invasores e acessam silenciosamente compartilhamentos de documentos que rastreiam fluxos de trabalho de cartões-presente e sistemas de emissão.
Em um incidente, os agentes de ameaças mantiveram o acesso em um único ambiente corporativo por aproximadamente dez meses e comprometeram mais de sessenta contas de usuário.
A sequência normalmente segue três fases:
Comprometimento inicial: um e-mail de phishing leva à extração de credenciais. O URL pode parecer legítimo, mas na verdade direciona o usuário para um site hostil.
Reconhecimento na nuvem e movimento lateral: após o login, os invasores exploram o SharePoint, OneDrive, Exchange e outros recursos, procurando fluxos de trabalho de emissão de cartões-presente, cadeias de aprovação, exportações de tíquetes, guias de acesso VPN e planilhas internas.
Execução de fraudes: depois que o aplicativo ou fluxo de trabalho correto é identificado, os invasores emitem cartões-presente, geralmente de alto valor, usando as credenciais comprometidas. Eles então convertem esses cartões em dinheiro ou os movem pelos canais do mercado cinza. Tudo isso é feito com rastreamentos mínimos de log e sem malware.
Uma das principais vantagens para os fraudadores é como os cartões-presente são tratados internamente por muitas empresas. Como esses sistemas geralmente ficam fora dos principais controles financeiros, eles são monitorados e registrados com menos frequência do que os sistemas bancários. Isso dá aos invasores oportunidade e cobertura.
Cartões-presente são alvos ideais
Vários fatores tornam os cartões-presente um alvo particularmente tentador para operações de fraude cibernética. Primeiro, eles exigem dados pessoais mínimos para serem resgatados e podem ser convertidos em dinheiro ou usados anonimamente, tornando-os difíceis de rastrear. Em segundo lugar, os sistemas de emissão geralmente têm amplas permissões internas e monitoramento mais fraco do que os sistemas de cartão de pagamento. Em terceiro lugar, a fraude por meio de cartões-presente geralmente escapa ao aviso imediato das equipes de risco financeiro porque os valores podem aparecer como operações legítimas até que aumentem.
O tempo sazonal também desempenha um papel. A campanha “Jingle Thief” recebeu o nome da atividade intensificada durante os períodos de férias, quando a emissão de cartões-presente é alta e a equipe pode estar menos vigilante. Os atacantes cronometram suas incursões para quando as defesas estão esticadas.
O grupo de hackers marroquino e suas táticas
Pesquisadores da Unidade 42 atribuem essa campanha, com confiança moderada, a um cluster de agentes de ameaças rastreado como CL-CRI-1032. Acredita-se que este aglomerado se sobreponha a grupos conhecidos como Atlas Lion e Storm-0539, ambos baseados no Marrocos e ativos desde pelo menos o final de 2021.
O que é incomum é como eles se comportam de maneira semelhante aos grupos patrocinados pelo Estado: longos tempos de permanência, reconhecimento pesado e operações nativas da nuvem. Mas eles são motivados financeiramente e não politicamente. Eles evitam deliberadamente ataques de malware e endpoint porque aumentam o ruído e o risco de detecção. Eles preferem operar inteiramente dentro da camada de identidade.
Outro exemplo de sua furtividade é como eles abusam do registro do dispositivo. Depois de obter credenciais, eles registram suas próprias máquinas virtuais ou dispositivos no domínio da organização de destino, geralmente aproveitando a infraestrutura de nuvem para se misturar. Uma vez que o dispositivo malicioso faz parte do ambiente, ele se comporta como um endpoint corporativo legítimo.
O que as empresas precisam fazer para se defender
Para organizações de varejo, serviços ao consumidor ou qualquer empresa que emita cartões-presente, o modelo de risco mudou. Os fluxos de trabalho de identidade e nuvem agora são a linha de frente. Os defensores devem se concentrar na prevenção de malware e no uso de identidade, no registro do dispositivo, na visibilidade do fluxo de trabalho interno e na detecção em todo o domínio.
O que começou como um domínio de fraude de risco relativamente baixo (roubo de códigos de cartão-presente) amadureceu e se tornou um crime sofisticado baseado em nuvem. A campanha Jingle Thief demonstra como os invasores agora exploram sistemas de identidade, cargas de trabalho em nuvem e fluxos de trabalho internos para roubar ativos monetizados como dinheiro. As empresas que emitem cartões-presente agora devem ver esses sistemas como grandes áreas de risco financeiro.
Se você faz parte de uma organização que lida com a emissão de cartões-presente, a mensagem é clara: o inimigo pode já estar dentro de sua infraestrutura de identidade, mapeando pacientemente sua nuvem e fluxos de trabalho corporativos. O que você pensava ser uma conveniência administrativa agora pode ser uma porta de entrada para fraudes.