Investigadores han revelado una campaña criminal de gran escala denominada “Jingle Thief”, dirigida a entornos en la nube de organizaciones del sector retail y servicios de consumo. El grupo, identificado como CL-CRI-1032 (vinculado a Atlas Lion y Storm‑0539 con base en Marruecos), explota credenciales corporativas para acceder a sistemas de emisión de tarjetas de regalo, emitir tarjetas de alto valor y monetizarlas rápidamente.
Jingle Thief: Fraude por Abuso de Identidad en la Nube
La campaña se caracteriza por su enfoque sigiloso, basado en el abuso de identidad y funciones nativas de Microsoft 365, evitando el malware pesado para eludir la detección.
Cadena de Ataque y Persistencia
- Acceso Inicial (Phishing /Smishing): El ataque comienza con phishing o smishing dirigidos al personal. Las víctimas son llevadas a portales falsos de inicio de sesión de Microsoft 365 que imitan los legítimos para capturar sus credenciales.
- Reconocimiento y Persistencia: Una vez dentro del entorno cloud (Microsoft 365, SharePoint, OneDrive), los atacantes realizan reconocimiento: buscan flujos de trabajo de emisión de tarjetas de regalo y guías de infraestructura (VPN, Citrix).
- Bypass de MFA y Acceso Prolongado: El actor registra dispositivos autenticadores falsos en Microsoft Entra ID, lo que les permite burlar la Autenticación Multifactor (MFA) y mantener acceso prolongado (en un caso, hasta 10 meses), comprometiendo más de 60 cuentas en una sola empresa.
- Monetización Silenciosa: Utilizan reglas de bandeja de entrada para reenviar correos automáticamente y mover elementos de “Enviados” a “Eliminados”, lo que reduce la visibilidad de su actividad mientras emiten tarjetas de regalo de alto valor para su venta en mercados grises.
El Riesgo de las Tarjetas de Regalo
- Enfoque de Monetización: Las tarjetas de regalo son un objetivo predilecto porque ofrecen un flujo de monetización rápido y permiten el blanqueo de valor con poca supervisión en el ecosistema minorista.
- Ciclo Integrado: La combinación de phishing externo, reconocimiento interno y emisión de valor crea un ciclo completo de fraude integrado, permitiendo la monetización inmediata tras la intrusión.
Recomendaciones
- Fortalecer Identidad y Autenticación (MFA)
- MFA Fuerte Obligatorio: Habilitar Autenticación Multifactor (MFA) fuerte para absolutamente todas las cuentas (incluidos usuarios estándar y cuentas de administración).
- Auditoría de Dispositivos: Revisar rigurosamente el registro de dispositivos autenticados en Microsoft Entra ID y eliminar cualquier dispositivo desconocido o no autorizado.
- Monitoreo de Acceso Anómalo: Monitorizar registros de acceso inusuales: inicios de sesión desde países/dispositivos nuevos, e inscripciones de aplicaciones autenticadoras no autorizadas.
- Control sobre Sistemas de Emisión de Valor
- Principio de Mínimo Acceso: Limitar el acceso a los sistemas de emisión de tarjetas de regalo/cupones solo a los usuarios estrictamente necesarios. Separe las funciones de emisión de valor.
- Monitoreo de Transacciones: Implementar monitoreo de patrones inusuales de emisión: alertar sobre volúmenes elevados, importa que superen umbrales o emisión desde ubicaciones/cuentas nuevas.
- Detección en Entornos Cloud (Microsoft 365)
- Alertas en Exchange/SharePoint: Activar alertas para la creación de reglas de reenvío en Exchange, descarga masiva de archivos de SharePoint/OneDrive y creación de cuentas o cambios de roles poco habituales.
- Hunting por Silencio: Buscar actividad que el atacante intenta ocultar: registros de sesiones que mueven correos de “Enviados” a “Eliminados” o descargas masivas de guías de infraestructura interna.
- Concientización y Endurecimiento
- Formación de Smishing: Capacitar al personal sobre riesgos de phishing y smishing. El atacante se traviste de entidades confiables.
- Privilegios Mínimos: Asegurar que los usuarios solo tengan los privilegios necesarios. Supervisar los registros de auditoría de emisión de tarjetas con retención prolongada.
