Pesquisadores de cibersegurança revelaram a atuação do grupo criminoso conhecido como Jingle Thief, que tem direcionado ataques a ambientes de cloud vinculados a empresas dos setores de varejo e serviços ao consumidor, com o objetivo de fraudes envolvendo gift cards.
Segundo Stav Setty e Shachar Roitman, pesquisadores da Unit 42 da Palo Alto Networks, “os atacantes do Jingle Thief utilizam phishing e smishing para roubar credenciais e comprometer organizações que emitem gift cards.
Ao obter acesso, buscam o tipo e o nível necessários para emitir cartões não autorizados.”
O principal objetivo dessas ações é monetizar os gift cards ilegalmente emitidos, provavelmente por meio da revenda em mercados cinzas.
Essa modalidade atrai os criminosos porque os gift cards podem ser facilmente resgatados, exigem poucas informações pessoais e são difíceis de rastrear, complicando as investigações antifraude.
O nome “Jingle Thief” faz referência ao padrão do grupo de atuar durante temporadas festivas e finais de ano, períodos em que fraudes com gift cards costumam aumentar.
A Unit 42 monitora esse grupo sob o codinome CL‑CRI‑1032, sendo “CL” a sigla para cluster e “CRI” para motivação criminal.
Com nível moderado de confiança, as investigações atribuem as ações do Jingle Thief aos grupos criminosos conhecidos como Atlas Lion e Storm-0539.
A Microsoft, por sua vez, classifica o grupo como financeiramente motivado, originário do Marrocos, com atividades detectadas desde pelo menos o fim de 2021.
O que torna o Jingle Thief particularmente perigoso é sua capacidade de permanecer dentro das organizações comprometidas por longos períodos — em alguns casos, mais de um ano.
Durante esse tempo, os invasores realizam extensos mapeamentos do ambiente cloud, movimentações laterais e adotam técnicas para evitar detecção.
Segundo a Unit 42, entre abril e maio de 2025, o grupo lançou uma série de ataques coordenados contra empresas pelo mundo, usando phishing para capturar credenciais necessárias à invasão de infraestruturas em cloud.
Em uma campanha específica, os hackers mantiveram acesso por cerca de 10 meses e comprometeram 60 contas de usuário em uma única empresa.
“Eles exploram infraestruturas baseadas em cloud para se passar por usuários legítimos, acessando informações sensíveis e executando fraudes com gift cards em larga escala”, afirmam os pesquisadores.
Os ataques focam em acessar aplicações de emissão de gift cards para gerar cartões de alto valor em diferentes programas, buscando minimizar registros de logs e rastros forenses.
A cadeia de ataque phishing do Jingle Thief é direcionada especialmente a ambientes Microsoft 365.
O grupo realiza reconhecimento prévio e envia páginas falsas de login por email ou SMS, que enganam as vítimas e capturam suas credenciais do Microsoft 365.
Logo após obter as credenciais, os criminosos iniciam uma segunda fase de reconhecimento, focando em SharePoint e OneDrive em busca de informações sobre operações de negócios, processos financeiros e fluxos de trabalho de TI.
Eles procuram dados específicos, como workflows de emissão de gift cards, configurações de VPN, planilhas ou sistemas internos usados para controlar os cartões, além de detalhes sobre máquinas virtuais e ambientes Citrix.
Na etapa seguinte, usam as contas comprometidas para enviar emails phishing internos, ampliando o acesso na organização.
Esses emails frequentemente simulam notificações de TI ou atualizações de tickets, baseando-se nas informações coletadas anteriormente.
Além disso, o grupo cria regras na caixa de entrada que encaminham automaticamente emails para endereços sob seu controle e apagam rastros, movendo as mensagens enviadas para a pasta Itens Excluídos.
Em alguns casos, os criminosos chegam a registrar aplicativos autenticadores falsos para contornar a autenticação multifator (MFA), além de inscrever seus dispositivos na plataforma Entra ID.
Isso assegura o acesso mesmo após troca de senhas ou revogação de tokens de sessão.
Diferentemente de muitos ataques que focam em comprometer endpoints, o Jingle Thief se destaca pelo uso intensivo de abuso de identidade, evitando malware customizado e reduzindo as chances de detecção.
“Fraudes com gift cards combinam discrição, rapidez e escalabilidade, especialmente quando aliadas ao acesso a ambientes cloud que concentram os workflows de emissão”, explica a Unit 42.
“Essa abordagem sigilosa evita detecção ao mesmo tempo em que prepara o terreno para fraudes futuras.”
Para explorar esses sistemas, os atacantes precisam acessar documentações internas e comunicações — o que conquistam ao roubar credenciais e manter uma presença silenciosa e constante no Microsoft 365 de organizações que oferecem serviços de gift cards.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...