Microsoft предупредила о росте активности киберпреступной группы Storm-0539, специализирующейся на мошенничестве с подарочными картами. Эта группа осуществляет сложные фишинговые атаки через электронную почту и SMS, целясь на розничные сети в период праздничных распродаж.
Вредоносные ссылки перенаправляют жертв на фишинговые страницы, оснащенные механизмами для перехвата учетных данных и токенов сессий.
Получив доступ к системе, хакеры добавляют свои устройства в список разрешённых для двухфакторной аутентификации. Это позволяет им обойти многофакторную защиту и сохранять несанкционированный доступ с помощью украденных учетных данных.
Злоумышленники применяют этот метод, чтобы повысить свои привилегии в сети и получить доступ к облачным ресурсам. Главной целью является кража информации, связанной с подарочными картами, для дальнейшего использования в мошеннических целях, в том числе для вывода средств и накопленных покупателем бонусов.
Storm-0539 не останавливается на достигнутом и собирает электронные письма, списки контактов и сведения о сетевой конфигурации для последующих атак на те же компании. Microsoft подчеркивает важность соблюдения принципов безопасности учетных записей.
В своем последнем ежемесячном отчете Microsoft 365 Defender, эксперты описывают Storm-0539 как финансово мотивированную группу, активную с 2021 года, передаёт Securitylab. Преступники проводят подробную разведку перед атаками, создавая максимально убедительные ловушки.
Стоит отметить, что недавно Microsoft получила судебный ордер на изъятие 750 миллионов поддельных аккаунтов вьетнамской киберпреступной группы Storm-1152. Эта группа продавала доступ к фальшивым учетным записям Microsoft, а также инструменты для обхода систем идентификации на других платформах.
Эксперты предупреждают, что хакеры все чаще стали злоупотреблять приложениями OAuth. Такие сервисы позволяют автоматизировать финансово мотивированные кампании, включая мошенничество с корпоративной электронной почтой, фишинг, рассылку спама и незаконную добычу криптовалюты.