- Atlas Lion usou phishing para se infiltrar em sistemas de vale-presente e se passar por funcionários autorizados
- Os invasores mapearam a infraestrutura, evitaram malware e exploraram fluxos de trabalho internos para roubar vales-presente
- Os cartões-presente são rápidos, não rastreáveis e facilmente revendidos; o acesso durou quase um ano
Há anos que um coletivo de hackers marroquino tem como alvo empresas que emitem cartões-presente, infiltrando-se nos seus sistemas, roubando os cartões e provavelmente revendendo-os no mercado negro com fins lucrativos, afirma uma nova pesquisa.
Pesquisadores da Unidade 42 da Palo Alto Networks apelidaram a campanha de “Jingle Thief”, por ser mais ativa durante a época festiva.
De acordo com o relatório, o grupo rastreado como “Atlas Lion”, ou “Storm-0539”, primeiro escolheria cuidadosamente o seu alvo e tentaria aprender o máximo possível sobre ele, antes de chegar aos seus funcionários com iscas de phishing convincentes. Essas iscas os ajudariam a obter acesso inicial, que usariam então para mapear a infraestrutura de TI, com foco específico no SharePoint e no OneDrive.
Por que cartões-presente?
Eles então procurariam fluxos de trabalho de emissão de cartões-presente, exportações ou instruções do sistema de emissão de bilhetes, guias de configuração e acesso de VPN, planilhas ou ferramentas internas usadas para emitir ou rastrear cartões-presente, máquinas virtuais organizacionais, ambientes Citrix e muito mais.
Em vez de lançar malware (o que provavelmente geraria alguns alarmes), para obter uma posição ainda melhor sobre a vítima, os invasores confiariam em phishing interno, visando funcionários com notificações falsas de serviços de TI, atualizações de tickets e muito mais.
Depois de identificar os processos de emissão de cartões-presente, eles se passariam por usuários autorizados para solicitar ou aprovar transações com cartões-presente, roubando-os efetivamente.
Os cartões-presente são populares entre os cibercriminosos porque são rápidos, fungíveis e difíceis de rastrear. O valor que eles fornecem é quase instantâneo e ocorre sem os rastros bancários normalmente encontrados em transferências eletrônicas.
Uma vez resgatados, os fundos dos cartões-presente são transferidos para contas ou são gastos, o que torna bastante difícil a recuperação e a atribuição. Ao mesmo tempo, os cibercriminosos podem facilmente revendê-los e convertê-los em mercados da dark web.
A Atlas Lion está apostando no longo prazo, concluiu a Unidade 42, dizendo que na campanha que observou, eles mantiveram o acesso por quase um ano e comprometeram mais de 60 contas de usuários em uma única empresa global.
Os pesquisadores não disseram quanto dinheiro foi roubado dessa forma.
Através As notícias dos hackers
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.
O melhor antivírus para todos os orçamentos
