Los investigadores de ciberseguridad han arrojado luz sobre un grupo de ciberdelincuentes llamado Ladrón de jingles que se ha observado que se dirige a los entornos de nube asociados a organizaciones de los sectores minorista y de servicios al consumidor por fraude con tarjetas de regalo.
«Los atacantes de Jingle Thief utilizan la suplantación de identidad y el smishing para robar credenciales y comprometer a las organizaciones que emiten tarjetas de regalo», dicen Stav Setty y Shachar Roitman, investigadores de la Unidad 42 de Palo Alto Networks dijo en un análisis del miércoles. «Una vez que acceden a una organización, buscan el tipo y el nivel de acceso necesarios para emitir tarjetas de regalo no autorizadas».
El objetivo final de estos esfuerzos es aprovechar las tarjetas de regalo emitidas para obtener ganancias monetarias, probablemente revendiéndolas en mercados grises. Las tarjetas de regalo son una opción lucrativa, ya que se pueden canjear fácilmente con un mínimo de información personal y son difíciles de rastrear, lo que dificulta que los defensores investiguen el fraude.
El nombre Jingle Thief es un guiño al patrón del actor de amenazas de cometer fraudes con tarjetas de regalo coincidiendo con temporadas festivas y períodos festivos. La empresa de ciberseguridad está rastreando la actividad con el nombre CL‑CRI‑1032, donde «CL» significa clúster y «CRI» hace referencia a la motivación delictiva.
El grupo de amenazas se ha atribuido con una confianza moderada a grupos delictivos rastreados como Atlas Lion y Tormenta-0539 , con Microsoft describiendo era una tripulación con motivaciones financieras originaria de Marruecos. Se cree que está activo al menos desde finales de 2021.
La capacidad de Jingle Thief para mantenerse en las organizaciones comprometidas durante períodos prolongados, en algunos casos durante más de un año, lo convierte en un grupo peligroso. Durante el tiempo que dedica a los entornos, el autor de la amenaza lleva a cabo un exhaustivo reconocimiento para cartografiar el entorno de la nube, se desplaza lateralmente por la nube y toma medidas para eludir la detección.
La Unidad 42 dijo que observó al grupo de hackers lanzar una ola de ataques coordinados contra varias empresas globales en abril y mayo de 2025, utilizando ataques de suplantación de identidad para obtener las credenciales necesarias para violar la infraestructura de nube de las víctimas. En una campaña, se afirma que los atacantes mantuvieron el acceso durante unos 10 meses y accedieron a 60 cuentas de usuario de una sola organización.
«Aprovechan la infraestructura basada en la nube para hacerse pasar por usuarios legítimos, obtener acceso no autorizado a datos confidenciales y llevar a cabo fraudes con tarjetas de regalo a gran escala», señalaron los investigadores.
Los ataques suelen implicar intentos de acceder a las aplicaciones de emisión de tarjetas de regalo para emitir tarjetas de gran valor en diferentes programas y, al mismo tiempo, garantizar que estas acciones dejen un mínimo de registros y rastros forenses.
|
| Cadena de ataques de suplantación de identidad de Jingle Thief en Microsoft 365 |
También son muy selectivas y se adaptan a cada víctima, ya que los actores de la amenaza llevan a cabo un reconocimiento antes de enviar páginas de inicio de sesión de suplantación de identidad persuasivas por correo electrónico o SMS que pueden engañar a las víctimas y engañarlas para que introduzcan sus credenciales de Microsoft 365.
Tan pronto como se recopilan las credenciales, los atacantes no pierden tiempo para iniciar sesión en el entorno y llevan a cabo una segunda ronda de reconocimiento, esta vez atacando los SharePoint y OneDrive de la víctima para obtener información relacionada con las operaciones comerciales, los procesos financieros y los flujos de trabajo de TI.
Esto incluye la búsqueda de flujos de trabajo de emisión de tarjetas de regalo, guías de acceso y configuraciones de VPN, hojas de cálculo o sistemas internos utilizados para emitir o rastrear tarjetas de regalo y otros detalles clave relacionados con las máquinas virtuales y los entornos Citrix.
En la siguiente fase, se descubrió que los actores de la amenaza aprovechaban la cuenta comprometida para enviar correos electrónicos de suplantación de identidad internamente dentro de la organización a fin de ampliar su presencia. Estos mensajes suelen imitar las notificaciones de los servicios de TI relacionadas con las notificaciones de los servicios de TI o las actualizaciones de tickets, y utilizan la información obtenida de la documentación interna o de comunicaciones anteriores.
Además, se sabe que Jingle Thief crea reglas de bandeja de entrada para reenviar automáticamente los correos electrónicos de cuentas pirateadas a las direcciones bajo su control, y luego encubrir los rastros de la actividad moviendo los correos electrónicos enviados inmediatamente a Elementos eliminados.
En algunos casos, también se ha observado al autor de la amenaza registrando aplicaciones de autenticación fraudulentas para eludir las protecciones de autenticación multifactor (MFA) e incluso inscribir sus dispositivos en Entra ID para mantener el acceso incluso después de restablecer las contraseñas de las víctimas o revocar los tokens de sesión.
Además de centrarse exclusivamente en los servicios en la nube y no en comprometer los terminales, otro aspecto que hace que las campañas de Jingle Thief sean dignas de mención es su propensión al uso indebido de la identidad en lugar de a la implementación de malware personalizado, lo que minimiza las posibilidades de detección.
«El fraude con tarjetas de regalo combina sigilo, velocidad y escalabilidad, especialmente cuando se combina con el acceso a entornos de nube donde residen los flujos de trabajo de emisión», afirma Unit 42. «Este enfoque discreto ayuda a evitar la detección y, al mismo tiempo, sienta las bases para futuros fraudes».
«Para explotar estos sistemas, los actores de amenazas necesitan acceso a la documentación y las comunicaciones internas. Pueden asegurarlo robando credenciales y manteniendo una presencia silenciosa y persistente en los entornos de Microsoft 365 de las organizaciones objetivo que ofrecen servicios de tarjetas de regalo».