Hackers exploraram vulnerabilidade em infraestrutura de nuvem para roubar milhões em cartões-presente

Pesquisadores de segurança cibernética da Unidade 42 da Palo Alto Networks revelaram a atuação de um grupo de criminosos cibernéticos de alta periculosidade, denominado Jingle Thief. O grupo foi identificado atacando ambientes de nuvem associados a grandes organizações dos setores de varejo e serviços ao consumidor com o objetivo de realizar fraudes milionárias com cartões-presente.

"Os invasores do Jingle Thief usam phishing e smishing para roubar credenciais e comprometer organizações que emitem vales-presente," afirmaram Stav Setty e Shachar Roitman, pesquisadores da Unidade 42, em uma análise detalhada publicada na quarta-feira. "Assim que obtêm acesso a uma organização, eles buscam o tipo e o nível de acesso necessários para emitir vales-presente não autorizados."

O objetivo final desses esforços é converter os cartões-presente emitidos em ganho monetário, geralmente revendendo-os em mercados paralelos. Os cartões-presente são uma opção lucrativa para grupos hackers, pois podem ser facilmente resgatados com informações pessoais mínimas e são difíceis de rastrear, o que complica a investigação da fraude pelas equipes de segurança.

O nome "Jingle Thief" (Ladrão de Jingle, em tradução livre) é uma referência ao padrão do invasor de realizar fraudes com vales-presente coincidindo com as temporadas festivas e períodos de festas de final de ano. A empresa de segurança cibernética rastreia a atividade sob a nomenclatura CL-CRI-1032. Acredita-se que o grupo esteja ativo desde, pelo menos, o final de 2021 e é atribuído, com moderada certeza, a grupos criminosos já rastreados como Atlas Lion e Storm-0539, com a Microsoft o descrevendo como uma equipe com motivação financeira originária do Marrocos.

Presença Persistente e Movimentação Lateral na Nuvem

A capacidade do Jingle Thief de manter presença em organizações comprometidas por longos períodos, em alguns casos por mais de um ano, torna-o um grupo perigoso. Durante o tempo em que atua nos ambientes, o hacker realiza um amplo reconhecimento para mapear o ambiente da nuvem, movimenta-se lateralmente e toma medidas sofisticadas para contornar a detecção.

A Unidade 42 afirmou ter observado o grupo de hackers lançando uma onda de ataques coordenados contra diversas empresas de escopo mundial em abril e maio de 2025. Esses ataques utilizavam phishing direcionado para obter as credenciais necessárias e violar a infraestrutura de nuvem das vítimas. Em uma das campanhas, os invasores teriam mantido o acesso por cerca de 10 meses e invadido 60 contas de usuários de uma única organização.

"Eles exploram a infraestrutura baseada em nuvem para se passar por usuários legítimos, obter acesso não autorizado a dados confidenciais e realizar fraudes de vale-presente em grande escala", observaram os pesquisadores. Os ataques geralmente envolvem tentativas de acessar aplicativos de emissão de vale-presente para emitir cartões de alto valor em diferentes programas, ao mesmo tempo em que garantem que essas ações deixem registros e rastros forenses mínimos, favorecendo a discrição.

Estratégias de Ataque e Evasão

Os ataques do Jingle Thief são altamente direcionados e personalizados para cada vítima. Os hackers realizam um reconhecimento prévio e, em seguida, enviam páginas de login de phishing persuasivas por e-mail ou SMS, projetadas para enganar as vítimas e induzi-las a inserir suas credenciais do Microsoft 365.

Assim que as credenciais são coletadas, os invasores fazem login no ambiente e realizam uma segunda rodada de reconhecimento. Desta vez, eles miram o SharePoint e o OneDrive da vítima em busca de informações cruciais relacionadas a operações comerciais, processos financeiros e fluxos de trabalho de TI. Isso inclui a busca por fluxos de trabalho de emissão de vale-presente, configurações de VPN e guias de acesso, planilhas ou sistemas internos usados ​​para emitir ou rastrear vales-presente e outros detalhes importantes.

Na fase seguinte, o grupo aproveita a conta comprometida para enviar e-mails de phishing internamente na organização, a fim de ampliar sua presença. Essas mensagens muitas vezes imitam notificações de serviços de TI ou atualizações de tickets, utilizando informações coletadas da documentação interna. Além disso, o Jingle Thief é conhecido por criar regras de caixa de entrada para encaminhar automaticamente e-mails de contas hackeadas para endereços sob seu controle e, em seguida, encobrir os rastros movendo os e-mails enviados imediatamente para a lixeira.

Em uma tática mais avançada, o invasor também foi observado registrando aplicativos autenticadores não autorizados para ignorar proteções de Autenticação Multifator (MFA) e até mesmo registrando seus dispositivos no Entra ID para manter o acesso mesmo após a redefinição de senhas ou revogação de tokens de sessão legítimos.

Um fator notável nas campanhas do Jingle Thief é o foco exclusivo em serviços de nuvem e o uso indevido de identidade em vez da implantação de malware personalizado, o que minimiza as chances de detecção. "A fraude com vale-presente combina discrição, velocidade e escalabilidade, especialmente quando combinada com acesso a ambientes de nuvem onde residem os fluxos de trabalho de emissão", concluiu a Unit 42. "Essa abordagem discreta ajuda a evitar a detecção e, ao mesmo tempo, prepara o terreno para futuras fraudes."

Para explorar esses sistemas, os invasores precisam de acesso à documentação e às comunicações internas, o que garantem roubando credenciais e mantendo uma presença persistente e sigilosa nos ambientes do Microsoft 365 das organizações.

Via - THN