This is the Trace Id: 033246b48b0619ef53a7de25dff1e732

Dentro do risco crescente de fraude de cartões de oferta

Transferir
Partilhar
Um portátil com cartões de oferta a cartões de crédito a voar desde o mesmo

Sétima Edição do Cyber Signals: No covil do leão

Numa era em que as transações digitais e as compras online se tornaram partes integrais na nosso dia a adia, a ameaça do cibercrime está iminente. Entre estas ameaças, a fraude de cartões de oferta e pagamento, que inclui cartões de oferta de empresas de cartões de crédito ou de retalhistas, é penetrante e está em evolução. Os criminosos utilizam métodos cada vez mais sofisticados para comprometer portais de cartões de oferta antes de os transformar em dinheiro praticamente indetetável.

Esta edição do Cyber Signals investiga as táticas, as técnicas e os procedimentos de um ator de ameaças de cibercrime a que a Microsoft chama Storm-0539, também conhecido como Atlas Lion, e as suas atividades no mundo do roubo de cartões de oferta, os pormenores dos seus métodos e as implicações para indivíduos, empresas e o panorama de cibersegurança.

O Storm-0539 permaneceu relevante ao longo dos anos, adaptando-se ao panorama criminoso sempre em evolução. Através de uma rede labiríntica de canais encriptados e fóruns clandestinos, orquestram empreendimentos ilícitos que exploram lacunas tecnológicas e implementam campanhas de engenharia social inteligentes para dimensionar a sua operação.

Embora muitos atores de ameaças de cibercrime escolham o caminho mais fácil para lucros rápidos e se concentrem na escala, o Storm-0539 mostra um foco discreto e produtivo no comprometimento de sistemas e transações de cartões de oferta. Este adversário visa emissores de cartões de oferta de forma implacável ao adaptar técnicas para conseguir acompanhar as alterações nas indústrias retalhista, de pagamentos e outras relacionadas.

Somos todos defensores.

Historicamente, o Storm-0539 aumenta a sua atividade de ataques antes das principais épocas de férias. Entre março e maio de 2024, antes da época de férias de verão, a Microsoft observou um aumento de 30% em atividades de intrusão do Storm-0539. Entre setembro e dezembro de 2023, observámos um aumento de 60% em atividades de ataque, coincidindo com as férias de outono e inverno.

  • 30 por cento de aumento em atividades de intrusão do Storm-0539, entre março e maio de 2024
  • 60 por cento de aumento em atividades de intrusão do Storm-0539, entre setembro e dezembro de 2024

Os atacantes refinam os assaltos de cartões de oferta e de pagamento

O Storm-0539 operam a partir de Marrocos e estão envolvidos em crimes financeiros como fraude de cartões de oferta. As suas técnicas incluem phishing, smishing, registar os seus próprios dispositivos em ambientes de vítimas para obter acesso persistente e tirar partido do acesso para visar organizações terceiras. Registam dispositivos para que os pedidos de autenticação multifator (MFA) associados a uma conta vítima comprometida vão para o dispositivo do atacante. Registar um dispositivo permite-lhes comprometer totalmente uma identidade e permanecer no ambiente de cloud. 

Ativos desde finais de 2021, este grupo de cibercrime representa uma evolução em atores de ameaças focados em atacar contas e sistemas de cartões de pagamento. Os atacantes normalmente comprometiam dados de cartões de pagamento com malware de ponto de venda (POS) no passado. No entanto, à medida que as indústrias fortaleceram as defesas de POS, o Storm-0539 adaptou as suas técnicas de ataque para comprometer serviços de cloud e de identidade ao visar criminalmente portais de cartões de oferta associados a grandes retalhistas, marcas de luxo e restaurantes de fast food reconhecidos.

Historicamente, a fraude de cartões de pagamento e de oferta está associada a malware sofisticado e campanhas de phishing. No entanto, este grupo tira partido de conhecimentos profundos da cloud para realizar reconhecimento sobre o processo de emissão de cartões de oferta de uma organização, portais de cartões de oferta e colaboradores com acesso a cartões de oferta.

Normalmente, a cadeia de ataque inclui as seguintes ações:
  • Através de diretórios e horários de colaboradores, listas de contactos e caixas de entrada de e-mail, o Storm-0539 visa os telemóveis pessoais e de trabalho de colaboradores com mensagens de smishing. 
  • Após uma conta de colaborador numa organização visada ser infiltrada, os atacantes movem-se lateralmente pela rede, tentando identificar o processo de negócio de cartões de oferta, mudando para contas comprometidas associadas a este portefólio específico. 
  • Também recolhem informações sobre máquinas virtuais, ligações de VPN, recursos do SharePoint e do OneDrive, bem como Salesforce, Citrix e outros ambientes remotos. 
  • Após obter acesso, o grupo cria novos cartões de oferta através das contas de colaboradores comprometidas. 
  • Depois, resgatam o valor associado a esses cartões, vendem os cartões a outros atores de ameaças em mercados negros ou usam “money mules” para levantar o dinheiro dos cartões de oferta.
Imagem a mostrar dois telemóveis com mensagens de smishing do Storm-0539 a fazer-se passar pelo suporte técnico da empresa do colaborador visado.
Mensagens de smishing do Storm-0539 a fazer-se passar pelo suporte técnico da empresa do colaborador visado.

O reconhecimento e a capacidade de tirar partido de ambientes de cloud do Storm-0539 são semelhantes ao que a Microsoft observa em atores de ameaças financiados por estados-nações, o que mostra como técnicas popularizadas por espionagem e adversários com foco geopolítico estão agora a influenciar criminosos com motivações financeiras.

Por exemplo, o Storm-0539 tira partido dos seus conhecimentos de software com base na cloud, sistemas de identidade e privilégios de acesso para visar onde os cartões de oferta são criados, em vez de se concentrar apenas no utilizador final. Esta atividade é uma tendência que vemos entre grupos não de estados-nações, como o Octo Tempest e o Storm-0539, que são entendidos taticamente em recursos de cloud, tal como atores avançados financiados por estados.

Para se camuflar e permanecer sem ser detetado, o Storm-0539 apresenta-se como organização legítima aos fornecedores de cloud, a fim de obter aplicações temporárias, armazenamento e outros recursos gratuitos iniciais para as suas atividades de ataque.

Como parte deste esforço, criam sites que se fazem passar por instituições de caridade, abrigos de animais e outras organizações sem fins lucrativos nos Estados Unidos da América, normalmente com typosquatting, uma prática enganosa em que os indivíduos registam uma versão com um erro ortográfico comum do domínio de uma organização como seu, para induzir os utilizadores a visitar sites fraudulentos e a introduzir informações pessoais ou credenciais profissionais.

Para expandir ainda mais a sua caixa de ferramentas de fraude, a Microsoft observou o Storm-0539 a transferir cópias legítimas de cartas 501(c)(3) emitidas pelo Internal Revenue Service (IRS) de sites públicos de organizações sem fins lucrativos. Munidos de uma cópia de uma carta 501(c)(3) legítima e um domínio correspondente a fazer-se passar pela organização sem fins lucrativos para a qual a carta foi emitida, abordam os principais fornecedores de cloud para pedir serviços de tecnologia patrocinados ou com desconto que muitas vezes são oferecidos a organizações sem fins lucrativos.

Uma infografia a mostrar como opera o Storm-0539.
O Storm-0539 opera com avaliações gratuitas, subscrições pay as you go e recursos de cloud comprometidos. Também observámos o Storm-0539 a fazer-se passar por organizações sen fins lucrativos legítimas para obter patrocínios de vários fornecedores de cloud.

O grupo também cria avaliações gratuitas ou contas para estudantes em plataformas de serviços cloud que normalmente oferecem 30 dias de acesso a novos clientes. Com estas contas, criam máquinas virtuais de onde lançam as suas operações visadas. A habilidade do Storm-0539 em comprometer e criar infraestrutura de ataque com base na cloud permite-lhes evitar custos iniciais comuns na economia do cibercrime, como o pagamento de anfitriões e servidores, procurando minimizar os custos e maximizar a eficiência.

A Microsoft avalia que o Storm-0539 realiza um reconhecimento extensivo dos fornecedores de serviços de identidade federados em empresas visadas para imitar de forma convincente a experiência de início de sessão do utilizador, incluindo não só a aparência da página de adversary-in-the-middle (AiTM), mas também a utilização de domínios registados que correspondem estreitamente a serviços legítimos. Noutras instâncias, o Storm-0539 comprometeu domínios do WordPress legítimos registados recentemente para criar a página de destino de AiTM.

Recomendações

  • Proteção de tokens e acesso de menor privilégio: Utilize políticas para proteger contra ataques de reprodução de tokens ao vincular o token ao dispositivo to utilizador legítimo. Aplique princípios de acesso de menor privilégio em toda a pilha de tecnologia para minimizar o impacto potencial de um ataque.
  • Adote uma plataforma de cartões de oferta segura e implemente soluções de proteção contra fraude: Considere mudar para um sistema concebido para autenticar pagamentos. Os comerciantes também podem integrar recursos de proteção contra fraude para minimizar as perdas.
  • MFA resistente a phishing: Faça a transição para credenciais resistentes a phishing que são imunes a vários ataques, como chaves de segurança FIDO2.
  • Exija uma alteração de palavra-passe segura quando o nível de risco do utilizador é alto: A MFA do Microsoft Entra é necessária antes de o utilizador poder criar uma nova palavra-passe com repetição de escrita de palavras-passe para remediar o risco.
  • Eduque os colaboradores: Os comerciantes devem formar os colaboradores para que reconheçam potenciais fraudes de cartões de oferta e rejeitem encomendas suspeitas.

Resistindo à tempestade: Defender contra o storm-0539

Os cartões de oferta são alvos atrativos para fraudes porque, ao contrário dos cartões de crédito ou débito, não há nomes de clientes ou contas bancárias associadas aos mesmos. A Microsoft vê um aumento da atividade do Storm-0539 focada nesta indústria em períodos de férias sazonais. O Memorial Day, o Dia do Trabalhador e o Dia de Ação de Graças nos EUA, bem como a Black Friday e as festas de inverno observadas em todo o mundo, tendem a estar associados a um aumento da atividade do grupo.

Normalmente, as organizações definem um limite para o montante em dinheiro que pode ser emitido para um cartão de oferta individual. Por exemplo, se esse limite for 100 000 USD, o ator da ameaça emitirá um cartão de 99 000 USD, enviará o código do cartão de oferta para si mesmo e monetizá-lo-á. A sua principal motivação é roubar cartões de oferta e lucrar ao vendê-los online com desconto. Vimos alguns exemplos em que o agente da ameaça roubou até 100 000 USD por dia em determinadas empresas.

Para se defenderem contra tais ataques e evitarem que este grupo obtenha acesso não autorizado aos departamentos de cartões de oferta, as empresas que emitem cartões de oferta devem tratar os seus portais de cartões de oferta como alvos de alto valor. Devem ser monitorizados de perto e auditados continuamente para detetar qualquer atividade anómala.

Para qualquer organização que crie ou emita cartões de oferta, a implementação de verificações e equilíbrios para impedir o acesso rápido a portais de cartões de oferta e outros alvos de alto valor, mesmo que uma conta esteja comprometida, pode ajudar. Monitorize continuamente os registos para identificar inícios de sessão suspeitos e outros vetores de acesso inicial comuns que dependem de comprometimentos de identidade de cloud e implemente políticas de acesso condicional que limitem os inícios de sessão e sinalizem os inícios de sessão de risco.

As organizações devem também considerar complementar a MFA com políticas de acesso condicional, onde os pedidos de autenticação são avaliados através de sinais adicionais orientados por identidade, como informações de localização do endereço IP ou estado do dispositivo, entre outros.

Outra tática que pode ajudar a conter estes ataques é um processo de verificação do cliente comprar domínios. Os regulamentos e as políticas dos fornecedores podem não impedir consistentemente o typosquatting malicioso em todo o mundo, o que significa que estes sites fraudulentos podem continuar a ser populares para dimensionar ciberataques. Processos de verificação para a criação de domínios poderiam ajudar a conter mais sites criados exclusivamente com o propósito de enganar as vítimas.

Além de nomes de domínio enganadores, a Microsoft também observou o Storm-0539 a utilizar listas de e-mail internas legítimas de empresas para disseminar mensagens de phishing depois de obterem uma posição numa empresa e compreenderem as suas listas de distribuição e outras normas de negócio.

O phishing através de uma lista de distribuição válida não só adiciona outra camada de autenticidade ao conteúdo malicioso, como também ajuda a melhorar o direcionamento do conteúdo para mais indivíduos com acesso a credenciais, relações e informações das quais o Storm-0539 depende para ganhar persistência e alcance.

Quando os utilizadores clicam em ligações contidas em e-mails ou mensagens SMS de phishing, são redirecionados para uma página de phishing de AiTM para roubo de credenciais e captura de tokens de autenticação secundária. Os retalhistas são incentivados a ensinar aos colaboradores como funcionam os esquemas de smishing/phishing, como identificá-los e como denunciá-los.

É importante destacar que, ao contrário dos vistosos atores de ameaças de ransomware, que encriptam e roubam dados e depois assediam-no(a) para pagar, o Storm-0539 esquiva-se num ambiente de cloud, reunindo discretamente reconhecimento e abusando da cloud e da infraestrutura de identidade para atingir os seus objetivos finais.

As operações do Storm-0539 são persuasivas devido à utilização pelo ator de e-mails legítimos comprometidos e à imitação de plataformas legítimas utilizadas pela empresa visada. Para algumas empresas, as perdas relacionadas com cartões de oferta são recuperáveis. Isso requer uma investigação exaustiva para determinar que cartões de oferta o ator da ameaça emitiu.

O Informações sobre Ameaças da Microsoft emitiu notificações para as organizações afetadas pelo Storm-0539. Em parte devido a esta partilha de informação e colaboração, temos observado um aumento da capacidade dos grandes retalhistas de se defenderem eficazmente contra a atividade do Storm-0539 nos últimos meses.

Uma infografia a mostrar o ciclo de vida de intrusão do Storm-0539, a começar por “Phishing/smishing”, seguido de “Acesso a recursos de cloud”, “Impacto (transferência de dados não autorizada e roubo de cartões de oferta)” e “Informação para ataques futuros”. “Identidade” permanece no centro da imagem.
Ciclo de vida de intrusão do Storm-0539.

Recomendações

  • Reponha palavras-passe para os utilizadores associados a atividade de phishing e AiTM: Para revogar quaisquer sessões ativas, reponha as palavras-passe imediatamente. Revogue quaisquer alterações a definições de MFA feitas pelo atacante em contas comprometidas. Exija voltar a desafiar a MFA para atualizações à MFA como predefinição. Além disso, certifique-se de que os dispositivos móveis que os colaboradores utilizam para aceder a redes corporativas estão protegidos de forma semelhante.
  • Ative a remoção automática (ZAP) no Microsoft Defender para Office 365: A ZAP encontra e executa ações automatizadas nos e-mails que fazem parte da campanha de phishing com base em elementos idênticos de mensagens maliciosas conhecidas.
  • Atualize identidades, privilégios de acesso e listas de distribuição para minimizar superfícies de ataque: Atacantes como o Storm-0539 presumem que encontrarão utilizadores com privilégios de acesso excessivos que podem comprometer para um impacto enorme. As funções de colaboradores e de equipas podem mudar frequentemente. O estabelecimento de uma revisão regular de privilégios, associações a listas de distribuição e outros atributos pode ajudar a limitar as consequências de uma intrusão inicial e dificultar o trabalho dos intrusos.

Saiba mais sobre o Storm-0539 e os especialistas do Informações sobre Ameaças da Microsoft dedicados a monitorizar o cibercrime e as ameaças mais recentes.

Metodologia: Os dados de instantâneos e estatísticas de cobertura representam um aumento nas notificações e observações dos nossos clientes sobre o agente de ameaças Storm-0539. Estes números refletem um aumento no pessoal e nos recursos gastos na monitorização deste grupo. O Azure Active Directory forneceu dados anonimizados sobre a atividade de ameaças, tais como contas de e-mail maliciosas, e-mails de phishing e movimento de atacantes nas redes. Informações adicionais provêm dos 78 biliões de sinais de segurança diários processados ​​pela Microsoft todos os dias, incluindo a cloud, pontos finais, o edge inteligente e telemetria das plataformas e dos serviços da Microsoft, incluindo o Microsoft Defender.

Cyber Signals Phishing Atores de ameaças

Artigos relacionados

Conheça os especialistas a monitorizar a fraude de cartões de oferta do Storm-0539

Com experiência em relações internacionais, aplicação de lei federal, segurança e administração pública, os analistas do Informações sobre Ameaças da Microsoft Alison Ali, Waymon Ho e Emiel Haeghebaert oferecem uma gama de capacidades únicas para monitorizar o Storm-0539, um ator de ameaças que se especializa em roubo de cartões de pagamento e fraude de cartões de oferta.
Saber mais

Nutrir a economia de confiança: fraude de engenharia social

Explore um panorama digital em evolução onde a confiança é ao mesmo tempo uma mais-valia e uma vulnerabilidade. Descubra as táticas de fraude de engenharia social que os ciberatacantes mais utilizam e consulte estratégias que podem ajudar a identificar e derrotar ameaças de engenharia social concebidas para manipular a natureza humana.
Saber mais

Mudança de táticas alimenta aumento do comprometimento de e-mail empresarial

O comprometimento de e-mail empresarial (BEC) está a crescer agora que os cibercriminosos podem ocultar a origem dos seus ataques para serem ainda mais malvados. Saiba mais sobre o CaaS e como ajudar a proteger a sua organização.
Saber mais

Siga o Microsoft Security