Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Grupo de crimes cibernéticos Jingle Thief

Grupo de crimes cibernéticos Jingle Thief

Por Mezo em Ameaça Persistente Avançada (APT)
Traduzir Para:

O Jingle Thief é um grupo de cibercriminosos com motivação financeira que pesquisadores vêm monitorando devido aos seus ataques direcionados e de baixo ruído em ambientes de nuvem usados por organizações que emitem vales-presente. Como os vales-presente podem ser resgatados com poucos dados pessoais e são fáceis de revender, comprometer os fluxos de trabalho de emissão proporciona saques rápidos e difíceis de rastrear. As operações do grupo são notáveis por longos tempos de permanência, reconhecimento cuidadoso e preferência pelo uso indevido de identidade em vez de malware tradicional — uma combinação que complica a detecção e a resposta.

Quem são eles e como os pesquisadores os chamam

Analistas de segurança classificam esse cluster de atividades como CL-CRI-1032. O rótulo se divide em um cluster ("CL") motivado por motivação criminosa ("CRI"). Avaliações de atribuição, feitas com confiança moderada, vinculam a atividade a grupos criminosos rastreados como Atlas Lion e Storm-0539, que se acredita operarem no Marrocos e estarem ativos desde pelo menos o final de 2021. O apelido "Jingle Thief" reflete o hábito do grupo de atacar em períodos de festas de fim de ano, quando a demanda por cartões-presente e a pressão dos emissores aumentam.

Objetivos primários e perfil da vítima

A Jingle Thief concentra-se em organizações de varejo e serviços ao consumidor que gerenciam a emissão de vales-presente em plataformas de nuvem. Seu objetivo final é simples: obter o acesso necessário para emitir vales-presente de alto valor e, em seguida, monetizá-los (normalmente por meio de revenda em mercados paralelos). Eles priorizam o acesso que lhes permite realizar a emissão em escala, deixando um rastro forense mínimo.

Táticas, Técnicas e Procedimentos (TTPs)

Em vez de desenvolver malware personalizado, o Jingle Thief conta com engenharia social e abuso de identidade na nuvem:

  • Roubo de credenciais: O grupo utiliza campanhas personalizadas de phishing e smishing para coletar credenciais do Microsoft 365. As mensagens são altamente personalizadas após o reconhecimento preliminar, muitas vezes imitando avisos de TI ou atualizações de tíquetes para aumentar as taxas de cliques e envio de credenciais.
  • Uso indevido de identidade e personificação: Após a captura das credenciais, os invasores efetuam login e se passam por usuários legítimos para acessar aplicativos de emissão e documentação confidencial. Eles evitam intencionalmente explorações ruidosas de endpoints em favor do abuso de contas nativas da nuvem.
  • Reconhecimento e movimentação lateral: após o acesso inicial, eles mapeiam o ambiente de nuvem — explorando o SharePoint, o OneDrive, guias de VPN, planilhas e fluxos de trabalho internos usados para emitir ou rastrear vales-presente —, depois escalam privilégios e se movimentam lateralmente entre contas e serviços de nuvem.

Estratégias de persistência e bypass de MFA

O Jingle Thief mantém posições de longo prazo (meses a mais de um ano). As técnicas de persistência observadas incluem a criação de regras de encaminhamento de caixa de entrada, a movimentação imediata de mensagens de phishing enviadas para Itens Excluídos para ocultar rastros, o registro de aplicativos autenticadores não autorizados e o registro de dispositivos invasores no Entra ID. Essas ações permitem que o grupo sobreviva a redefinições de senha e revogações de token, além de restabelecer o acesso rapidamente.

Padrões Operacionais e Escala

Pesquisadores observaram uma onda coordenada de ataques entre abril e maio de 2025, que teve como alvo diversas empresas em todo o mundo. Em uma das campanhas, os invasores teriam mantido o acesso por aproximadamente 10 meses e comprometido cerca de 60 contas de usuários em um único ambiente de vítima. Suas operações frequentemente visam diretamente portais de emissão de vale-presentes, emitindo cartões em diversos programas, enquanto tentam minimizar o registro e os metadados forenses.

Por que a fraude com vale-presente é atraente

Os vales-presente são atraentes para fraudadores porque podem ser resgatados ou revendidos com o mínimo de dados de identificação, e seus fluxos de trabalho de emissão costumam ser menos monitorados do que os sistemas de pagamento financeiro. Quando os invasores obtêm acesso à nuvem para esses fluxos de trabalho, eles podem escalar a fraude rapidamente, deixando rastros de auditoria menos óbvios para os defensores seguirem.

Indicadores de Compromisso

  • Criação inexplicável de regras de caixa de entrada ou encaminhamento automático para endereços externos.
  • Novos registros de autenticadores ou inscrições inesperadas de dispositivos no Entra ID.
  • Aumentos repentinos na emissão de vales-presente de alto valor ou emissão fora do horário comercial normal.
  • Acesso a locais do SharePoint/OneDrive que armazenam fluxos de trabalho de vale-presente, planilhas ou guias de VPN/administração de TI.
  • Vários logins de caixa de correio de diferentes localizações geográficas ou IPs desconhecidos que não correspondem ao comportamento normal do usuário.

Controles defensivos recomendados

  • Aplique MFA resistente a phishing (senhas/FIDO2) e bloqueie fatores secundários fracos que podem ser registrados remotamente.
  • Reforce a higiene de identidade: desabilite a autenticação legada, exija políticas de acesso condicional e use estações de trabalho com acesso privilegiado para administração.
  • Monitore e alerte sobre regras de encaminhamento de caixa de correio, novos registros de autenticadores/dispositivos e acesso anômalo a aplicativos de emissão de vale-presente.
  • Aplique o menor privilégio aos sistemas de emissão e separe os fluxos de trabalho de emissão de vale-presentes dos armazenamentos gerais de dados/correio comercial.

Avaliação de Encerramento

A combinação de reconhecimento profundo, uso indevido cuidadoso de contas, longos tempos de permanência e técnicas de bypass de MFA do Jingle Thief o torna um adversário de alto risco para qualquer organização que emita cartões-presente. Como o grupo utiliza recursos de identidade e serviço em nuvem em vez de explorações ruidosas de endpoints, a detecção requer monitoramento de identidade vigilante, políticas rígidas de MFA e controles adaptados para proteger os fluxos de trabalho de emissão. Priorizar essas medidas defensivas reduz a oportunidade de invasores emitirem, sacarem e desaparecerem silenciosamente.

Tendendo

Mais visto

Carregando...