Pesquisadores da Palo Alto Networks Unit 42 identificaram um grupo criminoso apelidado de Jingle Thief que tem como alvo infraestruturas em nuvem de companhias dos setores de varejo e serviços ao consumidor para emitir cartões-presente de forma ilegal.
De acordo com os especialistas Stav Setty e Shachar Roitman, o grupo usa campanhas de phishing por e-mail e smishing por SMS para roubar credenciais de funcionários. Após invadir o ambiente corporativo, os criminosos buscam níveis de acesso suficientes para gerar cartões-presente sem autorização.
Como o golpe funciona
Os cartões emitidos são revendidos em mercados paralelos, prática considerada lucrativa por exigir pouca informação pessoal na hora do resgate e deixar rastros mínimos para investigação. O nome “Jingle Thief” faz referência à atuação concentrada em épocas festivas, quando há maior emissão de benefícios promocionais.
A atividade é acompanhada pela Unit 42 sob o código CLCRI1032, em que “CL” indica cluster e “CRI” aponta motivação criminosa. Com confiança moderada, o cluster é relacionado aos grupos Atlas Lion e Storm-0539, descritos pela Microsoft como uma quadrilha financeiramente motivada com origem no Marrocos e ativa desde o fim de 2021.
Persistência e alcance
Investigações mostram que o Jingle Thief consegue permanecer em redes comprometidas por mais de um ano. Durante esse período, realiza reconhecimento extenso, movimenta-se lateralmente dentro da nuvem e procura evitar detecção.
Em abril e maio de 2025, os criminosos lançaram uma onda coordenada de ataques contra empresas globais. Em um dos casos, mantiveram acesso por cerca de dez meses e violaram 60 contas de usuário dentro da mesma organização.
Técnicas observadas
Depois de obter as credenciais, o invasor acessa o Microsoft 365 da vítima para reunir informações em SharePoint e OneDrive sobre processos financeiros, fluxos de emissão de cartões e configurações de VPN e Citrix. Em seguida, usa contas internas comprometidas para mandar novos e-mails de phishing, muitas vezes imitando notificações de TI.
Imagem: Internet
O grupo também cria regras de caixa de entrada que encaminham automaticamente mensagens para contas controladas pelos hackers, apagando evidências ao mover e-mails enviados para a pasta Itens Excluídos. Há registros de instalação de aplicativos autenticadores falsos, possibilitando a contorna de múltiplo fator de autenticação (MFA) e o registro de dispositivos no Entra ID, garantindo acesso mesmo após a redefinição de senhas.
Diferentemente de outras campanhas, o Jingle Thief foca exclusivamente em nuvem e no uso de identidades roubadas, dispensando malwares dedicados. Esse método reduz a chance de detecção e acelera a fraude.
Os pesquisadores alertam que a combinação de stealth, velocidade e escala torna o golpe de cartões-presente particularmente perigoso, sobretudo quando integrado a fluxos de trabalho hospedados na nuvem.
Com informações de The Hacker News
