¿Tarjetas regalo con trampa? Los atacantes afinan sus métodos para robar datos

En la última edición de Cyber Signals, Microsoft destaca el caso de Storm-0539, un grupo de ciberdelincuentes también conocido como "Atlas Lion", que ha llevado un paso más allá el robo basado en tarjetas de regalo. En lugar de estafar o suplantar directamente a los usuarios para realizar pagos con las tarjetas de regalo, Storm-0539 se infiltra en las plataformas de comercios, principalmente de EE.UU., utilizando tácticas de phishing, smishing (phishing a través de SMS), registro de dispositivos y robo de tokens. Así, acceden a los sistemas corporativos y cuentas de empleados de grandes minoristas, marcas de lujo y restaurantes de comida rápida que emiten tarjetas regalo. De este modo, los ciberdelincuentes logran emitir códigos de tarjetas de regalo de manera fraudulenta para sí mismos. Es decir, virtualmente “imprimen dinero” válido para pagar en los comercios que después canjean o venden en el mercado negro.

El grado de sofisticación de Storm-0539 y su capacidad para aprovechar los entornos cloud son similares a los que Microsoft observa en las amenazas patrocinadas por Estados-nación. Estas capacidades se observan también en otros grupos como Octo Tempest.

A diferencia de la mayoría de los ciberdelincuentes, que pasan a nuevos objetivos una vez que completan uno, Storm-0539 permanece infiltrado en los sistemas para seguir generando códigos de tarjetas de forma recurrente.

Además, Storm-0539 dispone de capacidades avanzadas de reconocimiento y camuflaje. El grupo lleva a cabo una investigación exhaustiva sobre el proceso comercial de las tarjetas regalo, los proveedores de servicios de identidad y los empleados de las organizaciones objetivo.

Los ciberdelincuentes también se hacen pasar por organizaciones sin ánimo de lucro para obtener recursos en la nube gratuitos o con descuento y dominios que se asemejan mucho a los servicios legítimos para reforzar su credibilidad y maximizar el impacto de sus ataques.