Aux Etats-Unis, le Bureau fédéral des investigations (FBI) et les chercheurs de Microsoft ont alerté sur des faits de fraude et d'escroquerie impliquant des cybercriminels marocains. Identifié comme étant Atlas Lion ou Storm-0539, le groupe mis en cause se fait passer pour des associations caritatives, afin de voler des cartes cadeau américaines auprès des magasins. Sous couvert d'associations caritatives, un groupe de cybercriminels basé au Maroc est mis en cause dans des faits d'escroquerie auprès d'entreprises de cloud, dont il obtient l'accès gratuit au stockage informatique. Ce procédé a permis de voler des cartes cadeau de grandes surfaces américaines, selon les révélations de chercheurs de Microsoft et du Bureau fédéral des investigations (FBI). Nommé Storm-0539 ou Atlas Lion, le groupe marocain est actif depuis 2021. Les chercheurs estiment que ces cybercriminels sont spécialisés dans le vol de cartes cadeau bancaires par fraude. Derrière de faux sites web caritatifs, ils arrivent en effet à tromper les entreprises de cloud pour obtenir un accès gratuit aux ordinateurs en ligne. Après quoi, ils passent par les employés des magasins connectés pour accéder à leurs systèmes de cartes cadeau, qu'ils volent sans dépasser la limite, pour ne pas être repérés. Des cybercriminels repérés par la division cyber du FBI Le FBI a également mis en garde contre les activités frauduleuses du groupe basé au Maroc. Dans une note datée du 6 mai, la Cyber Division du FBI a rapporté avoir repéré, en janvier 2024, «un groupe de cybercriminels appelé STORM-0539, également connu sous le nom d'Atlas Lion, ciblant des entreprises de vente au détail nationales et surtout les cartes cadeau». «STORM-0539 a utilisé des campagnes de smishing pour cibler les employés et obtenir un accès non autorisé aux comptes des employés et aux systèmes corporatifs. Il a ensuite eu recours aux campagnes de phishing pour cibler d'autres employés et élever les privilèges réseau», a expliqué le FBI. Dans ses actions de smishing, le groupe cible les téléphones mobiles personnels et professionnels des employés, dans les départements de vente au détail. Le FBI a détaillé les techniques utilisées, dont un «kit de phishing sophistiqué capable de contourner l'authentification multifacteurs». Une fois l'intrusion effectuée sur le compte d'un membre du personnel, le groupe «effectue des reconnaissances sur le réseau de l'entreprise pour identifier le processus commercial des cartes cadeau, puis il s'intéresse aux comptes des employés couvrant ce portefeuille spécifique». Au sein du réseau, les cybercriminels tentent d'accéder aux mots de passe et clés de shell sécurisé (SSH), en plus de cibler les identifiants des employés dans le département des cartes cadeau. Après accès, des «cartes cadeau frauduleuses sont créées, à travers les comptes compromis des employés». Les manœuvres du groupe incluent également «l'exfiltration des données des employés, y compris les noms, noms d'utilisateur et numéros de téléphone, susceptibles d'être exploités pour des attaques supplémentaires ou vendus à des fins lucratives». Se connecter au lieu de forcer l'accès Selon Emiel Haeghebaert, analyste senior au Microsoft Threat Intelligence Center, le groupe se composerait de pas plus d'une douzaine de personnes au Maroc. «Ils se connectent essentiellement au lieu de forcer l'accès», a-t-il expliqué. Microsoft a pu identifier le groupe «créant des domaines pour se faire passer pour des organisations à but non lucratif légitimes, telles que des refuges pour animaux et des associations caritatives aux Etats-Unis et en Europe, et obtenant des copies de correspondance avec l'Internal Revenue Service les désignant comme des organisations à but non lucratif légitimes». «Les reconnaissances du groupe et leur capacité à exploiter les environnements de cloud sont similaires à ce que Microsoft observe chez les acteurs de menace parrainés par des Etats-nations», ont déclaré Haeghebaert et les autres chercheurs, dans un rapport Cyber Signals de mai 2024. Pour l'heure, les recherches n'ont pas permis de faire une estimation des sommes volées à travers ces opérations de cybercriminalité.
