Trace Id is missing

Por dentro do risco crescente de fraude com cartões-presente

Baixar
Compartilhar
Um notebook com cartões-presente e cartões de crédito voando para fora dele

Cyber Signals Edição 7: Dentro da toca do leão

Em uma era onde transações digitais e compras online fazem parte do nosso dia a dia, as ameaças de crimes cibernéticos estão sempre à espreita. Entre essas ameaças, a fraude com cartões-presente e de pagamento, que inclui tanto cartões de crédito quanto cartões de lojas, é uma realidade persistente e em constante evolução. Os criminosos estão utilizando métodos cada vez mais avançados para invadir portais de cartões-presente e transformá-los em dinheiro que é quase impossível de rastrear.

Esta edição do Cyber Signals explora as táticas, técnicas e procedimentos de um ator de ameças do mundo dos crimes cibernéticos que a Microsoft denomina Storm-0539, também conhecido como Atlas Lion, focando em suas atividades no universo dos furtos de cartões-presente, a complexidade dos métodos usando e descobrir o impacto disso para pessoas, empresas e o cenário da cibersegurança.

O Storm-0539 tem se adaptado ao longo dos anos, evoluindo junto com o cenário do crime cibernético. Através de uma rede complexa de canais criptografados e fóruns secretos, eles organizam atividades ilícitas explorando brechas tecnológicas e implantando campanhas inteligentes de engenharia social para expandir suas operações.

Enquanto muitos cibercriminosos buscam lucros rápidos e em grande escala, o Storm-0539 tem um foco silencioso e eficaz em comprometer sistemas e transações de cartões- presente. Esse adversário ataca incansavelmente os emissores de cartões-presente, sempre adaptando suas técnicas para acompanhar as mudanças nos setores de varejo, pagamento e outros setores relacionados.

Somos todos defensores.

Historicamente, o Storm-0539 intensifica seus ataques antes das grandes temporadas de festas. Entre março e maio de 2024, antes das férias de verão, a Microsoft notou um aumento de 30% nas atividades de invasão do Storm-0539. Entre setembro e dezembro de 2023, coincidindo com os feriados de outono e inverno, observamos um crescimento de 60% nas atividades de ataque.

  • Aumento de 30% na atividade de invasão do Storm-0539, entre março e maio de 2024.
  • Aumento de 60% na atividade de invasão do Storm-0539, entre setembro e dezembro de 2024.

Invasores aprimoram roubos de cartões-presente e pagamento

O Storm-0539, que opera a partir do Marrocos, está envolvido em crimes financeiros, como fraudes de cartões-presente. Suas técnicas incluem phishing, smishing (phishing por SMS) e até o registro de dispositivos próprios nos ambientes das vítimas para manter acesso contínuo. Eles exploram esse acesso para atacar organizações terceiras. Eles registram dispositivos para que as solicitações de autenticação multifator (MFA) de uma conta comprometida sejam direcionadas para o aparelho do invasor. O registro de um dispositivo permite que eles assumam completamente uma identidade e se mantenham no ambiente de nuvem. 

Ativo desde o final de 2021, esse grupo de cibercrimonosos é a evolução dos atores de ameças que atacavam contas e sistemas de cartões de pagamento. No passado, os invasores comprometiam dados de cartões de pagamento com malware em pontos de venda (POS). Como os POS reforçaram as defesas, o Storm-0539 adaptou as técnicas de ataque para atacar serviços de nuvem e identidade, visando portais de cartões-presente de grandes varejistas, marcas de luxo e restaurantes fast-food.

Historicamente, a fraude de cartões-presente e de pagamento está associada a campanhas sofisticadas de malware e phishing. No entanto, esse grupo usa seu vasto conhecimento em tecnologias de nuvem para fazer o reconhecimento dos processos de emissão de cartões de uma organização, além de explorar portais de cartões-presente e funcionários que têm acesso a esses cartões.

Normalmente, a cadeia de ataque inclui:
  • Usar diretórios e agendas de funcionários, listas de contatos e caixas de entrada de emails, o Storm-0539 direciona textos de smishing aos telefones móveis pessoais e profissionais dos funcionários. 
  • Após infiltrar-se na conta de um funcionário da organização alvo, os invasores se movem lateralmente pela rede, buscando identificar o processo de negócios dos cartões-presente e pivotando em direção a contas comprometidas relacionadas a esse portfólio específico. 
  • Eles também coletam informações sobre máquinas virtuais, conexões VPN, recursos do SharePoint e OneDrive, além do Salesforce, Citrix e outros ambientes remotos. 
  • Depois de obter acesso, o grupo cria novos cartões-presente usando contas de funcionários comprometidos. 
  • Eles então resgatam os valores associados a esses cartões, vendem os cartões-presente para outros atores de ameaças em mercados negros ou usam "mulas" para converter os cartões em dinheiro.
Imagem exibindo dois celulares com mensagens de ataque por SMS do Storm-0539 que imitam o suporte técnico da empresa de um funcionário visado.
Mensagens de ataque por SMS do Storm-0539 se passando pelo suporte técnico da empresa de um funcionário visado.

O reconhecimento e a habilidade do Storm-0539 em explorar ambientes de nuvem são semelhantes ao que a Microsoft observa em atores patrocinados por estados-nação. Isso mostra como técnicas popularizadas por adversários focados em espionagem e questões geopolíticas agora estão sendo adotadas por criminosos com motivações financeiras.

Por exemplo, o Storm-0539 usa seu conhecimento de softwares baseados em nuvem, sistemas de identidade e privilégios de acesso para visar os pontos onde os cartões-presente são criados, ao invés de focar apenas no usuário final. Essa atividade é uma tendência que temos observado em grupos que não são patrocinados por estados, como o Octo Tempest e o Storm-0539, que possuem conhecimento tático avançado em recursos de nuvem, assim como os atores avançados patrocinados por estados.

Para se camuflarem e evitarem detecção, o Storm-0539 se passa por organizações legítimas junto ao provedores de nuvem, a fim de obter temporariamente aplicativos, armazenamento e outros recursos gratuitos para suas atividades de invasão.

Como parte dessa estratégia, eles criam sites que imitam instituições de caridade, abrigos de animais e outras entidades sem fins lucrativos nos Estados Unidos. Isso é feito por meio de typosquatting, uma prática enganosa que consiste em registrar domínios de organizações com erros de ortografia comuns para enganar os usuários a acessarem sites fraudulentos e fornecerem informações pessoais ou credenciais profissionais.

Para ampliar ainda mais o arsenal de fraudes, a Microsoft notou que o Storm-0539 baixa cópias legítimas de documentos 501(c)(3) emitidos pela Receita Federal dos Estados Unidos (IRS) a partir de sites públicos de organizações sem fins lucrativos. Munidos de uma cópia legítima de um documento 501(c)(3) e um domínio que se passa pela entidade sem fins lucrativos para a qual o documento foi emitido, eles abordam grandes provedores de nuvem em busca de serviços tecnológicos patrocinados ou com desconto, que são comumente oferecidos a organizações filantrópicas.

Um infográfico mostrando como o Storm-0539 opera.
O Storm-0539 opera por meio de avaliações gratuitas, assinaturas pagas conforme o uso e recursos de nuvem comprometidos. Também observamos que o Storm-0539 se passa por organizações sem fins lucrativos legítimas para obter patrocínios de diversos provedores de nuvem.

O grupo também cria contas de teste ou de estudante em plataformas de serviços de nuvem, que geralmente oferecem 30 dias de acesso a novos usuários. Nessas contas, eles criam máquinas virtuais para iniciar suas operações direcionadas. A habilidade do Storm-0539 em comprometer e criar infraestruturas de ataque baseadas na nuvem permite que eles evitem custos iniciais comuns no mercado de crimes cibernéticos, como pagar por hospedagem e servidores, enquanto buscam minimizar custos e maximizar a eficiência.

A Microsoft avalia que o Storm-0539 faz um reconhecimento detalhado nos provedores de serviços de identidade federados das empresas visadas para simular de maneira convincente a experiência de login do usuário, o que inclui não só a aparência da página da técnica adversary-in-the-middle (AiTM), mas também o uso de domínios registrados que se assemelham muito aos serviços legítimos. Em outras situações, o Storm-0539 comprometeu domínios WordPress legítimos e recém-registrados para elaborar a página de aterrissagem AiTM.

Recomendações

  • Proteção por token e acesso baseado no princípio de privilégios mínimos: Implemente políticas para se proteger contra ataques de repetição de token, vinculando o token ao dispositivo do usuário legítimo. Aplique princípios de acesso de privilégios mínimos por toda a pilha tecnológica para minimizar o impacto que um ataque pode causar.
  • Adotar uma plataforma segura de cartões-presente e implemente soluções de proteção contra fraudes: Considere migrar para um sistema desenvolvido para autenticar pagamentos. Os comerciantes também podem integrar recursos de proteção contra fraudes para reduzir prejuízos.
  • MFA resistente a phishing: Migre para credenciais resistentes a phishing que são imunes a diversos tipos de ataques, como as chaves de segurança FIDO2.
  • Exigir uma mudança de senha segura quando o nível de risco do usuário é alto: O MFA do Microsoft Entra é exigido antes que o usuário possa criar uma nova senha com a funcionalidade de write-back de senha para corrigir o risco.
  • Educar os funcionários: Os comerciantes devem treinar os funcionários para identificar possíveis golpes de cartões-presente e recusar pedidos suspeitos.

Enfrentando a tempestade: protegendo-se contra o Storm-0539

Cartões-presente são alvos atraentes para fraudes porque, ao contrário dos cartões de crédito ou débito, eles não estão vinculados a nomes de clientes ou contas bancárias. A Microsoft observa um aumento na atividade do Storm-0539 voltada para este setor durante períodos festivos sazonais. Datas como o Memorial Day, Dia dos Trabalhadores e Ação de Graças nos EUA, assim como a Black Friday e feriados de inverno observados ao redor do mundo, tendem a coincidir com um aumento nas atividades do grupo.

Geralmente, as organizações definem um limite para o valor que pode ser carregado em um único cartão-presente. Por exemplo, se o limite for US$ 100,000, o ator de ameaça emitirá um cartão de US$ 99,000, depois o enviará o código do cartão-presente para si mesmo e o monetizará. O principal objetivo deles é furtar cartões-presente e lucrar vendendo-os online por um preço reduzido. Vimos alguns exemplos em que o ator de ameaça roubou até US$ 100,000 por dia de determinadas empresas.

Para se proteger desses ataques e evitar que esse grupo acesse indevidamente os departamentos de cartões-presente, as empresas emissoras devem tratar seus portais de cartões-presente como alvos de alto valor. Esse portais devem ser monitorados de perto e auditados continuamente em busca de qualquer atividade anômala.

Para qualquer organização que cria ou emite cartões-presente, a implementação verificações e equilíbrios que previnam o acesso rápido a portais de cartões-presente e outros alvos de alto valor, mesmo em caso de comprometimento de uma conta, pode ser benéfica. Monitore continuamente os registros para identificar logins suspeitos e outros vetores comuns de acesso inicial que dependem de comprometimentos de identidade na nuvem, além de implemente políticas de acesso condicional que limitem logins e sinalizem tentativas de acesso suspeitas.

As organizações também devem considerar complementar a MFA com políticas de acesso condicional, onde as solicitações de autenticação são avaliadas com base em sinais adicionais relacionados à identidade, como informações de localização de endereço IP ou status do dispositivo, entre outros.

Outra tática que pode ajudar a combater esses ataques é um processo de verificação de clientes para a compra de domínios. Regulamentações e políticas de fornecedores nem sempre impedem de forma consistente a prática maliciosa de typosquatting ao redor do mundo, o que significa que esses sites enganosos podem continuar populares para escalar ataques cibernéticos. Processos de verificação para criação de domínios poderiam ajudar a reduzir o número de sites criados exclusivamente para enganar vítimas.

Além de nomes de domínio enganosos, a Microsoft também observou o Storm-0539 usando listas de emails internas de empresas para disseminar mensagens de phishing assim que conseguem se infiltrar em uma empresa e entender suas listas de distribuição e outras práticas comerciais.

O uso de phishing através de uma lista de distribuição válida não só adiciona uma camada extra de autenticidade ao conteúdo mal-intencionado, mas também aprimora o direcionamento do conteúdo para mais pessoas com acesso a credenciais, relacionamentos e informações que o Storm-0539 utiliza para manter sua presença e expandir seu alcance.

Quando os usuários clicam em links contidos em emails ou mensagens de phishing, são redirecionados para uma página de phishing AiTM para roubo de credenciais e captura de tokens de autenticação secundária. É recomendado que os varejistas instruam seus funcionários sobre o funcionamento das fraudes de smishing/phishing, como identificá-las e como reportá-las.

É importante destacar que, diferentemente dos atores de ameaças de ransomware que criptografam e roubam dados e depois o assediam para receber pagamento, o Storm-0539 agem silenciosamente em um ambiente de nuvem, coletando informações e abusando da infraestrutura de nuvem e identidade para alcançar seus objetivos.

As operações do Storm-0539 são persuasivas devido ao uso de emails comprometidos legítimos e à imitação de plataformas legítimas usadas pela empresa visada. Para algumas empresas, é possível recuperar as perdas com cartões-presente. Isso exige uma investigação detalhada para identificar quais cartões-presente o ator de ameaças emitiu.

As Informações sobre ameaças da Microsoft emitiram notificações para as organizações afetadas pelo Storm-0539. Parte desse compartilhamento de informações e colaboração contribuiu para um aumento na capacidade de grandes varejistas de combater com eficácia a atividade do Storm-0539 nos últimos meses.

Um infográfico detalha o ciclo de vida de invasão do Storm-0539, começando com "phishing/ataque por SMS", seguido por "Acesso a recursos de nuvem", "Impacto (exfiltração de dados e roubo de cartões-presente)" e "Informações para futuros ataques". "Identidade" está no centro do gráfico.
Ciclo de vida de invasão do Storm-0539.

Recomendações

  • Redefinir senhas para usuários associados com atividades de phishing e AiTM: Para revogar quaisquer sessões ativas, redefina as senhas imediatamente. Revogue todas as alterações de configuração de MFA feitas pelo invasor em contas comprometidas. Exija nova autenticação MFA como padrão para atualizações de MFA. Além disso, garanta que os dispositivos móveis usados pelos funcionários para acessar redes corporativas estejam devidamente protegidos.
  • Ativar a Limpeza Automática Zero Hora (ZAP) no Microsoft Defender para Office 365: O ZAP localiza e toma ações automatizadas em emails que fazem parte da campanha de phishing, com base em elementos idênticos de mensagens maliciosas conhecidas.
  • Atualizar identidades, privilégios de acesso e listas de distribuição para minimizar superfícies de ataque: Invasores como o Storm-0539 esperam encontrar usuários com privilégios de acesso excessivos, que podem ser comprometidos para gerar um impacto desproporcional. As funções de funcionários e equipes podem mudar frequentemente. Estabelecer uma revisão regular dos privilégios, subscrições em listas de distribuição e outros atributos pode ajudar a limitar as consequências de uma invasão inicial e dificultar o trabalho dos invasores.

Saiba mais sobre o Storm-0539 e os especialistas em Informações sobre ameaças da Microsoft dedicados ao rastreamento de crimes cibernéticos e das ameaças mais recentes.

Metodologia: Os dados de instantâneo e cobertura estatística representam um aumento nas notificações aos nossos clientes e nas observações do ator de ameaças Storm-0539. Esses números são reflexo do aumento de funcionários e nos recursos empregados no monitoramento deste grupo. O Azure Active Directory forneceu dados anonimizados sobre atividades de ameaça, como contas de email maliciosas, emails de phishing e movimentação de invasores dentro das redes. Outros insights vêm dos 78 trilhões de sinais de segurança processados diariamente pela Microsoft, incluindo a nuvem, os pontos de extremidade, a borda inteligente e a telemetria de plataformas e serviços da Microsoft, como o Microsoft Defender.

Cyber Signals Phishing Atores de ameaças

Artigos relacionados

Conheça os especialistas que monitoram a fraude do cartão-presente do grupo Storm-0539

Com experiências variadas em relações internacionais, aplicação de leis federais, segurança e setor governamental, os analistas de Informações sobre ameaças da Microsoft, Alison Ali, Waymon Ho e Emiel Haeghebaert, oferecem um conjunto diversificado de habilidades para o rastreamento do Storm-0539, um ator de ameaças especialista em furto de cartões de pagamento e fraude com cartões-presente.
Saiba mais

Alimentando a economia da confiança: fraude de engenharia social

Explore um cenário digital em evolução em que a confiança é tanto uma moeda quanto uma vulnerabilidade. Descubra as táticas de fraude de engenharia social mais usadas pelos invasores cibernéticos e analise estratégias eficazes para identificar e neutralizar as ameaças de engenharia social criadas que visam manipular a natureza humana.
Saiba mais

A mudança de táticas impulsiona o aumento do comprometimento de emails empresariais

O fenômeno do comprometimento de email empresarial (BEC) está crescendo, particularmente agora que os criminosos cibernéticos conseguem disfarçar a origem de seus ataques, tornando-os ainda mais perigosos. Saiba mais sobre o crime cibernético como serviço (CaaS) e como você pode proteger a sua organização.
Saiba mais

Siga a Segurança da Microsoft