Microsoft advierte sobre un aumento en la actividad maliciosa de un grupo de amenazas emergentes que está rastreando Tormenta-0539 para orquestar fraude y robo de tarjetas de regalo mediante ataques de phishing por correo electrónico y SMS altamente sofisticados contra entidades minoristas durante la temporada de compras navideñas.
El objetivo de los ataques es propagar enlaces trampa que dirijan a las víctimas a páginas de phishing de adversario en el medio (AiTM) que son capaces de recolectar sus credenciales y tokens de sesión.
“Después de obtener acceso a una sesión inicial y un token, Storm-0539 registra su propio dispositivo para posteriores solicitudes de autenticación secundaria, evitando las protecciones MFA y persistiendo en el entorno utilizando la identidad totalmente comprometida”, dijo el gigante tecnológico. dicho en una serie de publicaciones en X (anteriormente Twitter).
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
El punto de apoyo obtenido de esta manera actúa además como un conducto para aumentar los privilegios, moverse lateralmente a través de la red y acceder a recursos de la nube para obtener información confidencial, específicamente buscando servicios relacionados con tarjetas de regalo para facilitar el fraude.
Además de eso, Storm-0539 recopila correos electrónicos, listas de contactos y configuraciones de red para ataques posteriores contra las mismas organizaciones, lo que requiere prácticas sólidas de higiene de credenciales.
Redmond, en su informe mensual Microsoft 365 Defender publicado el mes pasado, describió al adversario como un grupo con motivación financiera que ha estado activo desde al menos 2021.
“Storm-0539 lleva a cabo un reconocimiento exhaustivo de las organizaciones objetivo para crear señuelos de phishing convincentes y robar credenciales y tokens de usuario para el acceso inicial”, dicho.
“El actor conoce bien los proveedores de nube y aprovecha los recursos de los servicios de nube de la organización objetivo para actividades posteriores al compromiso”.
La divulgación se produce días después de que la compañía dijera que obtuvo una orden judicial para confiscar la infraestructura de un grupo cibercriminal vietnamita llamado Storm-1152 que vendió acceso a aproximadamente 750 millones de cuentas fraudulentas de Microsoft, así como herramientas de elusión de verificación de identidad para otras plataformas tecnológicas.
A principios de esta semana, Microsoft también advirtió que múltiples actores de amenazas están abusando de las aplicaciones OAuth para automatizar delitos cibernéticos con motivación financiera, como el compromiso del correo electrónico empresarial (BEC), el phishing, las campañas de spam a gran escala y el despliegue de máquinas virtuales para extraer criptomonedas de forma ilícita.