Группа Storm-0539 крадет Рождество и подарочные карты

Microsoft предупредила о росте активности киберпреступной группы Storm-0539, специализирующейся на мошенничестве с подарочными картами. Эта группа осуществляет сложные фишинговые атаки через электронную почту и SMS, целясь на розничные сети в период праздничных распродаж.

Вредоносные ссылки перенаправляют жертв на фишинговые страницы, оснащенные механизмами для перехвата учетных данных и токенов сессий.

Исследователи Microsoft поделились своими наблюдениями на платформе X (бывшая Twitter).

Получив доступ к системе, хакеры добавляют свои устройства в список разрешённых для двухфакторной аутентификации. Это позволяет им обойти многофакторную защиту и сохранять несанкционированный доступ с помощью украденных учетных данных.

Злоумышленники применяют этот метод, чтобы повысить свои привилегии в сети и получить доступ к облачным ресурсам. Главной целью является кража информации, связанной с подарочными картами, для дальнейшего использования в мошеннических целях, в том числе для вывода средств и накопленных покупателем бонусов.

Storm-0539 не останавливается на достигнутом и собирает электронные письма, списки контактов и сведения о сетевой конфигурации для последующих атак на те же компании. Microsoft подчеркивает важность соблюдения принципов безопасности учетных записей.

В своем последнем ежемесячном отчете Microsoft 365 Defender , эксперты описывают Storm-0539 как финансово мотивированную группу, активную с 2021 года. Преступники проводят подробную разведку перед атаками, создавая максимально убедительные ловушки.

Стоит отметить, что недавно Microsoft получила судебный ордер на изъятие 750 миллионов поддельных аккаунтов вьетнамской киберпреступной группы Storm-1152. Эта группа продавала доступ к фальшивым учетным записям Microsoft, а также инструменты для обхода систем идентификации на других платформах.

Эксперты предупреждают, что хакеры все чаще стали злоупотреблять приложениями OAuth . Такие сервисы позволяют автоматизировать финансово мотивированные кампании, включая мошенничество с корпоративной электронной почтой, фишинг, рассылку спама и незаконную добычу криптовалюты.