Investigadores de Microsoft han alertado sobre un nuevo ciberataque de robo de tarjetas regalo, en el que el grupo de actores maliciosos Storm-0539 consigue infiltrarse en las plataformas de comercios minoristas mediante técnicas de ‘phishing’, ‘smishing’ y robo de tokens, para crear tarjetas de regalo y robar productos.
Las tarjetas regalo de los comercios son objetivos habitualmente atractivos para las prácticas de fraude e ingeniería social de los ciberdelincuentes ya que, a diferencia de las tarjetas de crédito o débito, no tienen ningún nombre de cliente ni cuenta bancaria asociada, por lo que permite su uso potencialmente sospechoso sin ser identificado.
En este marco, los investigadores del equipo Microsoft Threat Intelligence han alertado sobre un aumento en la actividad del grupo de actores de amenazas Storm-0539, que “han llevado un paso más allá” el robo basado en tarjetas de regalo, a través de técnicas de ‘phishing‘ y el robo de tokens.
Así lo ha detallado Microsoft en su última edición de Cyber Signals, el informe trimestral en el que la compañía analiza el panorama de amenazas, así como las tácticas y técnicas más utilizadas por los ciberdelincuentes. En este caso, destacando el caso del grupo de ciberdelincuentes también conocido como ‘Atlas Lion’.
Según ha explicado, en lugar de estafar o suplantar directamente a los usuarios para realizar pagos con tarjetas de regalo, los ciberdelincuentes utilizaron técnicas de ‘phishing’ ‘smishing’ -‘phishing’ a través de SMS-, el registro de dispositivos y el robo de tokens.
De esta forma, conseguían acceder a los sistemas corporativos y a las cuentas de empleados de grandes minoristas, incluidas marcas de lujo y restaurantes de comida rápida, que emiten tarjetas regalo. Una vez dentro del sistema, los actores maliciosos generaban códigos de tarjetas de regalo de forma fraudulenta, que gastaban para sí mismos robando productos del comercio en cuestión.
Es decir, tal y como han matizado desde Microsoft, es como si “imprimiesen dinero” virtualmente para pagar en los comercios y, tras ello, canjear o vender los productos en el mercado negro.
Este tipo de fraudes relacionados con el grupo Storm-0539, aumentaron un 30% entre marzo y mayo de 2024, sobre todo, durante los días festivos de Estados Unidos, como el Día de Acción de Gracias, el Black Friday o Navidad.
Así, los investigadores han destacado el grado de sofisticación de este grupo de actores maliciosos, así como su capacidad para “aprovechar los entornos cloud”. Esto se debe a que, a diferencia de la mayoría de los ciberdelincuentes, que una vez completan la estafa pasan a ser objetivos, los conocidos como Atlas Lion permanecen infiltrados en los sistemas para seguir generando códigos de tarjetas de forma recurrente.
Storm-0539 adquiere estas capacidades de reconocimiento y camuflaje mediante una investigación exhaustiva sobre el proceso comercial de las tarjetas regalo, así como de los proveedores de servicios de identidad y los empleados de las organizaciones objetivo.
Otro de los modus operandi de este grupo de ciberdelincuentes es hacerse pasar por organizaciones sin ánimo de lucro, con lo que obtienen recursos en la nube gratuitos y dominios que se asemejan mucho a los servicios legítimos. Estas características les otorgan credibilidad y, por tanto, maximizan el impacto de sus ataques.
Con todo ello, Microsoft ha recomendado a las organizaciones que emiten tarjetas de regalo tratar sus portales de tarjetas como “objetivos de alto valor” para los ciberdelincuentes. En este sentido, ha sugerido disponer de una supervisión continua para dichos portales y llevar a cabo auditorías en caso de actividades anómalas.
Igualmente, también ha subrayado la importancia de implementar políticas de acceso condicional, así como educar a los equipos de seguridad de las empresas sobre tácticas de ingeniería social, de cara a evitar caer en estas estafas.
