Jingle Thief: campaña de fraude con tarjetas de regalo que abusa de Microsoft 36

Los investigadores de Unit 42 (Palo Alto Networks) han revelado una campaña altamente sofisticada de fraude con tarjetas de regalo operada por un actor de amenazas conocido como Jingle Thief. Este grupo cibercriminal se enfoca en organizaciones de los sectores minorista y de servicios al consumidor, aprovechando ataques de phishing y smishing para obtener credenciales y luego abusar de entornos en la nube, especialmente Microsoft 365, con el objetivo de emitir y revender tarjetas de regalo fraudulentas por ganancias económicas.

Vector de entrada: phishing y smishing dirigidos

El modus operandi inicial de Jingle Thief combina tácticas tradicionales de ingeniería social con una ejecución sumamente precisa. El grupo lanza campañas personalizadas de correos electrónicos y mensajes SMS que imitan portales corporativos, engañando a los empleados para que ingresen sus credenciales. Una vez comprometidas las cuentas, los atacantes acceden directamente a la infraestructura en la nube sin necesidad de desplegar malware, lo que les permite pasar desapercibidos para muchas soluciones de seguridad basadas en endpoints.

Las páginas falsas utilizadas en sus campañas replican con gran detalle las interfaces de Microsoft 365, utilizando los logotipos, fuentes y estructuras reales de autenticación. Este enfoque aumenta la tasa de éxito y reduce la posibilidad de que las víctimas sospechen de la falsificación.

Movimiento lateral, persistencia y abuso de identidades

Tras obtener acceso inicial, Jingle Thief realiza un reconocimiento exhaustivo del entorno comprometido. Analizan SharePoint, OneDrive y otras plataformas colaborativas en busca de información relacionada con la emisión de tarjetas de regalo, configuraciones de VPN, procesos financieros y flujos de trabajo internos. Su objetivo es entender cómo opera la empresa para aprovechar sus propios sistemas contra ella.

Además, los atacantes registran aplicaciones de autenticación no autorizadas y llegan a inscribir dispositivos falsos en Entra ID, lo que les permite mantener acceso incluso después de que los administradores cambien contraseñas o revoquen tokens de sesión. Este nivel de persistencia hace que su eliminación sea especialmente compleja, prolongando la exposición de las víctimas durante meses.

Emisión de tarjetas fraudulentas y técnicas de sigilo

El fin último de Jingle Thief es la emisión y monetización de tarjetas de regalo no autorizadas. Para ello, acceden a las aplicaciones internas de las organizaciones emisoras y crean tarjetas de alto valor, que posteriormente son revendidas en mercados grises o foros clandestinos.

El grupo destaca por su sigilo y precisión operativa. Implementan reglas de bandeja de entrada para reenviar correos importantes a direcciones bajo su control, eliminan rastros forenses moviendo los correos enviados a carpetas de elementos eliminados y minimizan las actividades que puedan generar registros sospechosos. Se han documentado casos donde mantuvieron acceso durante más de 10 meses, infiltrando hasta 60 cuentas de usuario en una sola organización.

Atribución y conexiones con otros grupos

El conjunto de actividades atribuidas a Jingle Thief es rastreado por Unit 42 bajo el identificador CL-CRI-1032, donde "CL" significa cluster y "CRI" se refiere a motivación criminal. El grupo ha sido vinculado con Atlas Lion y Storm-0539, actores de amenazas motivados financieramente y asociados a campañas de fraude con tarjetas de regalo. Según informes de Microsoft, estas operaciones tienen su origen en Marruecos y se han mantenido activas al menos desde finales de 2021.

Por qué Jingle Thief representa una amenaza crítica

• Operación cloud-first sin malware: el grupo evita instalar software malicioso, centrando sus acciones en el abuso de identidades legítimas, lo que les permite pasar inadvertidos.
• Persistencia prolongada: su capacidad para mantener accesos durante meses facilita el reconocimiento profundo de los entornos corporativos.
• Escalabilidad del fraude: el modelo basado en la nube permite emitir y revender grandes volúmenes de tarjetas sin dejar rastros evidentes.
• Baja visibilidad para los defensores: las actividades se mezclan con tráfico legítimo, dificultando la detección temprana.

Señales de compromiso a monitorear

• Inicio de sesión desde ubicaciones inusuales o dispositivos desconocidos.
• Nuevas reglas de bandeja de entrada o reenvíos automáticos a dominios externos.
• Registro de aplicaciones sospechosas en Entra ID.
• Acceso o descarga masiva de archivos desde SharePoint o OneDrive.
• Cambios inesperados en configuraciones de emisión de tarjetas o sistemas financieros internos.

Medidas de mitigación recomendadas

• Refuerzo de autenticación: habilitar MFA robusto, revisar métodos de autenticación y eliminar los no reconocidos.
• Supervisión de reglas de correo: implementar alertas para detectar creación o modificación de reglas en bandejas de entrada.
• Endurecimiento de Microsoft 365: aplicar políticas de acceso condicional, limitar privilegios administrativos y registrar toda actividad sensible.
• Segmentación de procesos críticos: aislar las aplicaciones de emisión de tarjetas de regalo y aplicar el principio de menor privilegio.
• Revisión continua de dependencias y credenciales: auditar accesos, rotar contraseñas y deshabilitar cuentas inactivas o comprometidas.
• Capacitación de empleados: reforzar la conciencia sobre phishing y smishing, con simulaciones periódicas de ataque.

En fin...

La operación Jingle Thief ilustra la evolución del fraude digital: actores criminales capaces de combinar ingeniería social avanzada con explotación de identidades en la nube para ejecutar ataques financieros discretos y rentables. Su enfoque sin malware y su aprovechamiento de herramientas legítimas lo convierten en una amenaza particularmente difícil de erradicar.

Para las empresas emisoras de tarjetas de regalo, así como para cualquier organización que gestione flujos financieros digitales, resulta esencial reforzar la seguridad de identidades, auditar accesos cloud y aplicar controles de emisión seguros. En un escenario donde los atacantes prefieren la infiltración silenciosa al ataque visible, la prevención, la segmentación y la vigilancia continua son las únicas defensas efectivas contra campañas tan persistentes y rentables como la de Jingle Thief.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login