Microsoft skreće pažnju na grup cyber kriminala sa sjedištem u Maroku pod nazivom Storm-0539 koja stoji iza prevare i krađe poklon kartica kroz visoko sofisticirane phishing napade putem e-pošte i SMS-a.
“Njihova primarna motivacija je da ukradu poklon kartice i profitiraju prodajom putem interneta po sniženoj stopi”, navodi kompanija u svom najnovijem izvještaju Cyber Signals. “Vidjeli smo neke primjere u kojima je haker krao i do 100.000 dolara dnevno u određenim kompanijama.”
Storm-0539 je prvi skrenuo pažnju Microsoft sredinom decembra 2023., povezujući ga s kampanjama društvenog inženjeringa uoči praznične sezone na kraju godine za krađu akreditiva i tokena sesije žrtava putem stranica za krađu identiteta ( AitM ).
Grupa, koja se naziva i Atlas Lion i aktivna najmanje od kraja 2021. godine, poznata je po tome da zloupotrebljava početni pristup za registraciju vlastitih uređaja kako bi zaobišla autentifikaciju i dobio trajni pristup, stekao povišene privilegije i ugrozio usluge vezane za poklon kartice kreiranjem lažnih poklon kartice za olakšavanje prevare.
Lanci napada su dalje dizajnirani da dobiju prikriveni pristup okruženju žrtve u cloud, omogućavajući hakeru da izvrši obimno izviđanje i naoružava infrastrukturu kako bi postigao svoje krajnje ciljeve. Ciljevi kampanje su veliki trgovci na malo, luksuzni brendovi i poznati restorani brze hrane.
Krajnji cilj operacije je otkupiti vrijednost povezane s tim karticama, prodati poklon kartice drugim hakerima na crnom tržištu ili koristiti novčane mazge za unovčenje poklon kartica.
Kriminalno ciljanje portala za poklon kartice označava taktičku evoluciju hakera, koji je ranije bio uključen u krađu podataka o platnim karticama koristeći zlonamjerni softver na uređajima na prodajnom mjestu (PoS).
Proizvođač Windows-a je rekao da je uočio 30% povećanje aktivnosti upada Storm-0539 između marta i maja 2024. godine, opisujući napadače da koriste svoje duboko znanje o cloud kako bi “sproveli izviđanje procesa izdavanja poklon kartica organizacije”.
Ranije ovog mjeseca, američki Federalni istražni biro (FBI) objavio je savjetodavno [PDF] upozorenje o napadima koje je počinila grupa usmjerena na odjele za poklon kartice maloprodajnih korporacija koristeći sofisticirani komplet za krađu identiteta kako bi se zaobišla višefaktorska autentikacija (MFA).
“U jednom slučaju, korporacija je otkrila aktivnost lažnih poklon kartica Storm-0539 u svom sistemu i uvela promjene kako bi spriječila stvaranje lažnih poklon kartica”, rekao je FBI.
“Hakeri Storm-0539 nastavili su sa svojim napadima i povratili pristup korporativnim sistemima. Zatim su hakeri promijenili taktiku na lociranje neotplaćenih poklon kartica i promijenili povezane adrese e-pošte u one koje kontrolišu hakeri Storm-0539 kako bi iskoristili poklon kartice. “
Vrijedi napomenuti da aktivnosti hakera idu dalje od krađe akreditiva za prijavu osoblja odjela za poklon kartice. Njihovi napori se takođe protežu na nabavku lozinki i ključeva za secure shell (SSH), koji bi se zatim mogli prodati za finansijsku zaradu ili koristiti za naknadne napade.
Još jedna taktika koju je usvojio Storm-0539 uključuje upotrebu legitimnih internih mejling lista kompanije za širenje phishing poruka nakon dobijanja početnog pristupa, dodajući prizvuk autentičnosti napadima. Takođe je utvrđeno stvaranje besplatnih probnih verzija ili studentskih računa na platformama usluga u cloud za postavljanje novih web stranica.
Zloupotreba infrastrukture cloud, uključujući imitiranje legitimnih neprofitnih organizacija za pružaoce usluga u cloud, znak je da financijski motivisane grupe posuđuju stranicu iz naprednih priručnika za hakere koje sponzoriše država kako bi zakamuflirali svoje poslovanje i ostali neotkriveni.
Microsoft poziva kompanije koje izdaju poklon kartice da svoje portale poklon kartica tretiraju kao mete visoke vrijednosti praćenjem sumnjivih prijava.
“Organizacije bi takođe trebale razmatrati dopunu MFA politikama uslovnog pristupa gdje se zahtjevi za autentifikaciju procjenjuju korištenjem dodatnih signala vođenih identitetom kao što su informacije o lokaciji IP adrese ili status uređaja, između ostalog,” napominje kompanija.
“Operacije Storm-0539 su uvjerljive zbog hakerove upotrebe legitimnih kompromitovanih mejlova i oponašanja legitimnih platformi koje koristi ciljana kompanija.”
Razvoj dolazi kada je Enea otkrila detalje kriminalnih kampanja koje iskorištavaju usluge cloud storage kao što su Amazon S3, Google Cloud Storage, Backblaze B2 i IBM Cloud Object Storage za prevare s poklon karticama zasnovane na SMS-u koje preusmjeravaju korisnike na zlonamjerne web stranice s ciljem pljačke osjetljivih informacije.
“URL koji se povezuje na skladište u cloud isporučuje se putem tekstualnih poruka, koje izgledaju autentične i zato mogu zaobići ograničenja firewall-a,” rekao je istraživač Enea Manoj Kumar”.
Početkom aprila 2023. godine, Enea je takođe otkrila kampanje koje uključuju URL-ove napravljene korištenjem legitimne Google adrese, “google.com/amp”, koja se zatim kombinuje sa kodiranim znakovima kako bi se prikrio URL prevare.
“Ovakvu vrstu povjerenja iskorištavaju zlonamjerni hakeri koji pokušavaju prevariti mobilne pretplatnike skrivajući se iza naizgled legitimnih URL-ova,” istakao je Kumar . “Tehnike napadača mogu uključivati namamljivanje pretplatnika na njihove web stranice pod lažnim izgovorom i krađu osjetljivih informacija kao što su podaci o kreditnoj kartici, podaci e-pošte ili društvenih medija i drugi lični podaci.”
Izvor:The Hacker News