A Microsoft está alertando sobre um aumento na atividade maliciosa de um grupo de ameaças emergentes que está rastreando como Storm-0539 para organizar fraudes e roubos de cartões-presente por meio de ataques de phishing altamente sofisticados por e-mail e SMS contra entidades de varejo durante a temporada de compras de fim de ano.
O objetivo dos ataques é propagar links armadilhados que direcionam as vítimas para páginas de phishing do adversário no meio (AiTM) que são capazes de colher suas credenciais e tokens de sessão.
"Depois de ganhar acesso a uma sessão inicial e token, a Storm-0539 registra seu próprio dispositivo para avisos subsequentes de autenticação secundária, contornando proteções MFA e persistindo no ambiente usando a identidade totalmente comprometida", disse a gigante da tecnologia em uma série de posts no X (antes Twitter).
Medidas de segurança tradicionais não são suficientes no mundo de hoje.
A presença obtida desta maneira atua como um conduto para a escalada de privilégios, movendo-se lateralmente pela rede e acessando recursos em nuvem para capturar informações sensíveis, especificamente visando serviços relacionados com cartões-presente para facilitar a fraude.
Além disso, a Storm-0539 coleta e-mails, listas de contatos e configurações de rede para ataques futuros contra as mesmas organizações, necessitando a necessidade de práticas robustas de higiene de credenciais.
Redmond, em seu relatório mensal Microsoft 365 Defender publicado no mês passado, descreveu o adversário como um grupo de motivação financeira que tem estado ativo desde pelo menos 2021.
"A Storm-0539 realiza um amplo reconhecimento de organizações alvo para criar iscas de phishing convincentes e roubar credenciais de usuário e tokens para acesso inicial", disse.
"O ator é bem versado nos provedores de nuvem e aproveita recursos dos serviços de nuvem da organização alvo para atividades pós-compromisso."
A revelação veio dias após a empresa dizer que obteve uma ordem judicial para apreender a infraestrutura de um grupo de criminosos cibernéticos vietnamitas chamado Storm-1152 que vendia acesso a aproximadamente 750 milhões de contas fraudulentas da Microsoft, além de ferramentas de bypass de verificação de identidade para outras plataformas tecnológicas.
No início desta semana, a Microsoft também alertou que vários atores de ameaças estão abusando de aplicativos OAuth para automatizar crimes cibernéticos financeiramente motivados, como comprometimento de e-mail comercial (BEC), phishing, campanhas de spam em grande escala e implantação de máquinas virtuais para mineração ilícita de criptomoedas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...