Microsoft está llamando la atención sobre un grupo de cibercrimen con sede en Marruecos llamado Storm-0539 que está detrás del fraude y robo de tarjetas de regalo mediante ataques de phishing por correo electrónico y SMS altamente sofisticados.

«Su principal motivación es robar tarjetas de regalo y obtener ganancias vendiéndolas en línea a un precio reducido», dijo la compañía en su último informe Cyber Signals. «Hemos visto algunos ejemplos en los que el actor de amenazas ha robado hasta 100.000 dólares al día en determinadas empresas».

Microsoft destacó por primera vez Storm-0539 a mediados de diciembre de 2023, vinculándolo con campañas de ingeniería social antes de la temporada navideña de fin de año para robar las credenciales de las víctimas y los tokens de sesión a través de páginas de phishing de adversario en el medio (AitM).

Se sabe que la pandilla, también llamada Atlas Lion y activa desde al menos finales de 2021, abusa del acceso inicial para registrar sus propios dispositivos para eludir la autenticación y obtener acceso persistente, obtener privilegios elevados y comprometer servicios relacionados con tarjetas de regalo mediante la creación falsa. Tarjetas de regalo para facilitar el fraude.

Las cadenas de ataque están diseñadas además para obtener acceso encubierto al entorno de nube de la víctima, lo que permite al actor de la amenaza llevar a cabo un reconocimiento exhaustivo y convertir la infraestructura en un arma para lograr sus objetivos finales. Los objetivos de la campaña incluyen grandes minoristas, marcas de lujo y conocidos restaurantes de comida rápida.

El objetivo final de la operación es canjear el valor asociado con esas tarjetas, vender las tarjetas de regalo a otros actores amenazantes en los mercados negros o utilizar mulas de dinero para retirar las tarjetas de regalo.

El ataque criminal a los portales de tarjetas de regalo marca una evolución táctica del actor de amenazas, que anteriormente se dedicaba a robar datos de tarjetas de pago mediante el uso de malware en dispositivos de punto de venta (PoS).

El fabricante de Windows dijo que observó un aumento del 30% en la actividad de intrusión Storm-0539 entre marzo y mayo de 2024, y describió que los atacantes aprovecharon su profundo conocimiento de la nube para «realizar un reconocimiento de los procesos de emisión de tarjetas de regalo de una organización».

A principios de este mes, la Oficina Federal de Investigaciones (FBI) de EE. UU. publicó un aviso [PDF] advirtiendo sobre ataques de smishing perpetrados por el grupo dirigidos a los departamentos de tarjetas de regalo de corporaciones minoristas utilizando un sofisticado kit de phishing para eludir la autenticación multifactor (MFA).

Vale la pena señalar que las actividades del actor de amenazas van más allá de robar las credenciales de inicio de sesión del personal del departamento de tarjetas de regalo; sus esfuerzos también se extienden a la adquisición de contraseñas y claves de shell seguro (SSH), que luego podrían venderse para obtener ganancias financieras o usarse para ataques posteriores.

Otra táctica adoptada por Storm-0539 implica el uso de listas de correo internas legítimas de la empresa para difundir mensajes de phishing al obtener acceso inicial, añadiendo un barniz de autenticidad a los ataques. También se ha descubierto que se crean pruebas gratuitas o cuentas de estudiantes en plataformas de servicios en la nube para configurar nuevos sitios web.

El abuso de la infraestructura de la nube, incluso haciéndose pasar por organizaciones sin fines de lucro legítimas ante los proveedores de servicios de la nube, es una señal de que los grupos con motivación financiera están tomando prestada una página de los manuales de estrategias de actores avanzados patrocinados por el estado para camuflar sus operaciones y pasar desapercibidos.

Microsoft insta a las empresas que emiten tarjetas de regalo a que traten sus portales de tarjetas de regalo como objetivos de alto valor mediante la supervisión de inicios de sesión sospechosos.