Microsoft a alerté sur un groupe de cybercriminels basé au Maroc. Baptisé "Storm-0539", ce groupe est à l'origine de fraudes et de vols de cartes-cadeaux par le biais d'attaques d'hameçonnage très sophistiquées par courrier électronique et par SMS. Détails. "Le groupe a pour objectif de voler des cartes-cadeaux et d'en tirer profit en les vendant en ligne à un prix réduit", indique le géant américain dans son dernier rapport intitulé "Cyber Signals". Le document révèle qu'il y a eu des cas d'arnaque qui coûté près de 100.000 dollars par jour à certaines entreprises. L'activité de Storm-0539 a été mise en évidence pour la première fois par Microsoft en décembre 2023, l'associant à des campagnes d'ingénierie sociale avant les fêtes de fin d'année pour voler les identifiants et les jetons de session des victimes via des pages d'hameçonnage de type "adversary-in-the-middle" (AitM). Le gang, également appelé Atlas Lion et actif depuis 2021, est connu pour abuser de l'accès initial pour enregistrer ses propres appareils afin de contourner l'authentification et d'obtenir un accès persistant. Ensuite, il procède à la création de fausses cartes-cadeaux pour faciliter la fraude. Les chaînes d'attaque sont en outre conçues pour obtenir un accès secret à l'environnement cloud de la victime, ce qui permet à l'acteur de la menace d'effectuer une reconnaissance approfondie et d'armer l'infrastructure pour atteindre ses objectifs finaux. Parmi les cibles de la campagne figurent de grands détaillants, des marques de luxe et des restaurants fast-food réputés. L'objectif ultime de l'opération est de vendre les cartes cadeaux à d'autres acteurs sur les marchés noirs, ou d'utiliser des mules d'argent pour encaisser les cartes cadeaux, fait savoir le média spécialisé The hacker news. Le ciblage criminel des portails de cartes-cadeaux marque une évolution tactique de l'acteur de la menace, qui s'est précédemment engagé dans le vol de données de cartes de paiement en utilisant des logiciels malveillants sur les dispositifs de point de vente (PoS). L'inventeur de Windows a déclaré avoir observé une augmentation de 30 % des activités d'intrusion Storm-0539 entre mars et mai 2024, décrivant les attaquants comme tirant parti de leur connaissance approfondie du cloud pour "mener une reconnaissance sur les processus d'émission de cartes-cadeaux d'une organisation". Au début du mois, le Federal Bureau of Investigation (FBI) a publié un avis mettant en garde contre les attaques de smishing perpétrées par le groupe et visant les services de cartes-cadeaux des entreprises de vente au détail à l'aide d'un kit de phishing sophistiqué permettant de contourner l'authentification multifactorielle (MFA).
