Investigadores de ciberseguridad han descubierto un grupo de ciberdelincuencia llamado Jingle Thief que se ha observado atacando entornos de nube asociados con organizaciones de los sectores minorista y de servicios al consumidor para cometer fraude con tarjetas de regalo.
«Los atacantes de Jingle Thief están utilizando phishing y smishing para robar credenciales y comprometer a las organizaciones que emiten tarjetas de regalo», dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Stav Setty y Shachar Roitman, en un análisis el miércoles. «Una vez que obtenemos acceso a una organización, buscamos el tipo y nivel de acceso necesarios para emitir tarjetas de regalo fraudulentas».
El objetivo final de estos esfuerzos es aprovechar las tarjetas de regalo emitidas para obtener ganancias financieras, probablemente revendiéndolas en el mercado gris. Las tarjetas de regalo son una opción ventajosa porque pueden canjearse fácilmente con información personal mínima y son difíciles de rastrear, lo que dificulta que los defensores investiguen el fraude.
El nombre Jingle Thief recuerda el patrón de fraude con tarjetas de regalo de este actor de amenazas durante las temporadas festivas y navideñas. Las empresas de ciberseguridad están rastreando esta actividad con el nombre CL-CRI-1032. «CL» significa grupo y «CRI» se refiere al motivo del delito.
Se cree con moderada confianza que este grupo de amenazas es obra de grupos criminales rastreados como Atlas Lion y Storm-0539, que Microsoft describe como un grupo con motivación financiera de Marruecos. Se cree que ha estado activo desde al menos la segunda mitad de 2021.
La capacidad de Jingle Thief para mantener un punto de apoyo dentro de organizaciones comprometidas durante largos períodos de tiempo, en algunos casos durante más de un año, los convierte en un grupo peligroso. Mientras manipulan el entorno, los actores de amenazas realizan un reconocimiento exhaustivo para mapear el entorno de la nube, moverse lateralmente dentro de la nube y tomar medidas para evadir la detección.
La Unidad 42 dijo que observó al grupo de piratas informáticos lanzar una serie de ataques coordinados contra varias empresas globales entre abril y mayo de 2025, utilizando ataques de phishing para obtener las credenciales necesarias para penetrar la infraestructura de la nube de las víctimas. En una campaña, los atacantes supuestamente mantuvieron el acceso durante aproximadamente 10 meses y comprometieron 60 cuentas de usuarios dentro de una sola organización.
«Explotan la infraestructura basada en la nube para hacerse pasar por usuarios legítimos, obtener acceso no autorizado a datos confidenciales y realizar fraudes con tarjetas de regalo a escala», señalaron los investigadores.
Este ataque a menudo implica intentar acceder a aplicaciones de emisión de tarjetas de regalo para emitir tarjetas de alto valor a través de una variedad de programas, garantizando al mismo tiempo que estas acciones dejen un mínimo de registros y rastros forenses.
Cadena de ataques de phishing de Jingle Thief en Microsoft 365
También está altamente dirigido y personalizado para cada víctima, lo que permite a los atacantes realizar un reconocimiento antes de enviar una página de inicio de sesión de phishing convincente por correo electrónico o SMS para engañar a las víctimas para que ingresen sus credenciales de Microsoft 365.
Tan pronto como se recopilan las credenciales, el atacante no pierde el tiempo iniciando sesión en el entorno y realizando un segundo reconocimiento. Esta vez, se dirige al SharePoint y OneDrive de la víctima para obtener información relacionada con operaciones comerciales, procesos financieros y flujos de trabajo de TI.
Esto incluye encontrar flujos de trabajo de emisión de tarjetas de regalo, guías de acceso y configuración de VPN, hojas de cálculo o sistemas internos utilizados para emitir o rastrear tarjetas de regalo y otros detalles importantes relacionados con máquinas virtuales y entornos Citrix.
El siguiente paso fue utilizar las cuentas comprometidas para enviar correos electrónicos de phishing dentro de la organización, lo que permitió a los atacantes ganar más terreno. Estos mensajes a menudo aprovechan la información obtenida de documentos internos y comunicaciones anteriores para imitar notificaciones de servicios de TI y actualizaciones de tickets relacionadas.
Además, se sabe que Jingle Thief crea reglas en la bandeja de entrada que reenvían automáticamente correos electrónicos de cuentas pirateadas a direcciones bajo su control y que encubren rastros de su actividad moviendo inmediatamente los correos electrónicos enviados a Elementos eliminados.
En algunos casos, también se ha observado a los atacantes registrando aplicaciones de autenticación fraudulentas para eludir las protecciones de autenticación multifactor (MFA) o registrando dispositivos con Entra ID para mantener el acceso incluso después de que se restablezca la contraseña de la víctima o se revoque el token de sesión.
Además de centrarse en los servicios en la nube en lugar de comprometer los terminales, otro aspecto notable de las campañas de Jingle Thief es su propensión al abuso de identidad en lugar de la implementación de malware personalizado, minimizando así la probabilidad de detección.
«El fraude con tarjetas de regalo combina sigilo, velocidad y escalabilidad, especialmente cuando se combina con el acceso al entorno de nube donde reside el flujo de trabajo de emisión», dijo la Unidad 42. «Este enfoque cauteloso puede ayudar a evadir la detección y al mismo tiempo sentar las bases para futuros fraudes».
«Para explotar estos sistemas, los atacantes necesitan acceso a documentos y comunicaciones internos. Pueden proteger esto robando credenciales y manteniendo silenciosamente una presencia persistente dentro del entorno Microsoft 365 de la organización objetivo que proporciona servicios de tarjetas de regalo».
Source link
