Microsoft Alerta Sobre a Tempestade-0539: A Crescente Ameaça Por Trás das Fraudes em Cartões Presente de Feriado
18 de Dezembro de 2023

A Microsoft está alertando sobre um aumento na atividade maliciosa de um grupo de ameaças emergentes que está rastreando como Storm-0539 para organizar fraudes e roubos de cartões-presente por meio de ataques de phishing altamente sofisticados por e-mail e SMS contra entidades de varejo durante a temporada de compras de fim de ano.

O objetivo dos ataques é propagar links armadilhados que direcionam as vítimas para páginas de phishing do adversário no meio (AiTM) que são capazes de colher suas credenciais e tokens de sessão.

"Depois de ganhar acesso a uma sessão inicial e token, a Storm-0539 registra seu próprio dispositivo para avisos subsequentes de autenticação secundária, contornando proteções MFA e persistindo no ambiente usando a identidade totalmente comprometida", disse a gigante da tecnologia em uma série de posts no X (antes Twitter).

Medidas de segurança tradicionais não são suficientes no mundo de hoje.

A presença obtida desta maneira atua como um conduto para a escalada de privilégios, movendo-se lateralmente pela rede e acessando recursos em nuvem para capturar informações sensíveis, especificamente visando serviços relacionados com cartões-presente para facilitar a fraude.

Além disso, a Storm-0539 coleta e-mails, listas de contatos e configurações de rede para ataques futuros contra as mesmas organizações, necessitando a necessidade de práticas robustas de higiene de credenciais.

Redmond, em seu relatório mensal Microsoft 365 Defender publicado no mês passado, descreveu o adversário como um grupo de motivação financeira que tem estado ativo desde pelo menos 2021.

"A Storm-0539 realiza um amplo reconhecimento de organizações alvo para criar iscas de phishing convincentes e roubar credenciais de usuário e tokens para acesso inicial", disse.

"O ator é bem versado nos provedores de nuvem e aproveita recursos dos serviços de nuvem da organização alvo para atividades pós-compromisso."

A revelação veio dias após a empresa dizer que obteve uma ordem judicial para apreender a infraestrutura de um grupo de criminosos cibernéticos vietnamitas chamado Storm-1152 que vendia acesso a aproximadamente 750 milhões de contas fraudulentas da Microsoft, além de ferramentas de bypass de verificação de identidade para outras plataformas tecnológicas.

No início desta semana, a Microsoft também alertou que vários atores de ameaças estão abusando de aplicativos OAuth para automatizar crimes cibernéticos financeiramente motivados, como comprometimento de e-mail comercial (BEC), phishing, campanhas de spam em grande escala e implantação de máquinas virtuais para mineração ilícita de criptomoedas.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...