Investigadores de ciberseguridad han arrojado luz sobre un grupo cibercriminal llamado Ladrón de cascabeles Esto se ha observado en entornos de nube asociados con organizaciones de los sectores minorista y de servicios al consumidor para cometer fraude con tarjetas de regalo.
«Los atacantes de Jingle Thief utilizan phishing y smishing para robar credenciales y comprometer a las organizaciones que emiten tarjetas de regalo», Stav Setty y Shachar Roitman, investigadores de la Unidad 42 de Palo Alto Networks. dicho en un análisis del miércoles. «Una vez que obtienen acceso a una organización, buscan el tipo y nivel de acceso necesario para emitir tarjetas de regalo no autorizadas».
El objetivo final de estos esfuerzos es aprovechar las tarjetas de regalo emitidas para obtener ganancias monetarias probablemente revendiéndolas en los mercados grises. Las tarjetas de regalo son una opción lucrativa, ya que pueden canjearse fácilmente con información personal mínima y son difíciles de rastrear, lo que dificulta que los defensores investiguen el fraude.
El nombre Jingle Thief es un guiño al patrón del actor de amenazas de realizar fraudes con tarjetas de regalo coincidiendo con temporadas festivas y períodos festivos. La empresa de ciberseguridad está rastreando la actividad bajo el nombre CL‑CRI‑1032, donde «CL» significa clúster y «CRI» se refiere a motivación criminal.
El grupo de amenazas se ha atribuido con un nivel de confianza moderado a grupos criminales rastreados como Atlas Lion y Tormenta-0539con Microsoft describiendo como una tripulación con motivación financiera originaria de Marruecos. Se cree que está activo desde al menos finales de 2021.
La capacidad de Jingle Thief para mantener puntos de apoyo dentro de organizaciones comprometidas durante períodos prolongados, en algunos casos durante más de un año, lo convierte en un grupo peligroso. Durante el tiempo que pasa con los entornos, el actor de amenazas realiza un reconocimiento exhaustivo para mapear el entorno de la nube, se mueve lateralmente a través de la nube y toma medidas para evitar la detección.
La Unidad 42 dijo que observó al grupo de piratas informáticos lanzar una ola de ataques coordinados contra varias empresas globales en abril y mayo de 2025, utilizando ataques de phishing para obtener las credenciales necesarias para violar la infraestructura de la nube de las víctimas. En una campaña, se dice que los atacantes mantuvieron el acceso durante aproximadamente 10 meses y accedieron a 60 cuentas de usuario dentro de una sola organización.
«Explotan la infraestructura basada en la nube para hacerse pasar por usuarios legítimos, obtener acceso no autorizado a datos confidenciales y llevar a cabo fraudes con tarjetas de regalo a escala», señalaron los investigadores.
Los ataques a menudo implican intentos de acceder a aplicaciones de emisión de tarjetas de regalo para emitir tarjetas de alto valor a través de diferentes programas, garantizando al mismo tiempo que estas acciones dejen registros y rastros forenses mínimos.
 |
| Cadena de ataques de phishing de Jingle Thief en Microsoft 365 |
También están altamente dirigidos y adaptados a cada víctima, y los actores de amenazas llevan a cabo un reconocimiento antes de enviar páginas de inicio de sesión de phishing persuasivas por correo electrónico o SMS que pueden engañar a las víctimas y engañarlas para que ingresen sus credenciales de Microsoft 365.
Tan pronto como se recopilan las credenciales, los atacantes no pierden el tiempo iniciando sesión en el entorno y llevan a cabo una segunda ronda de reconocimiento, esta vez apuntando al SharePoint y OneDrive de la víctima en busca de información relacionada con operaciones comerciales, procesos financieros y flujos de trabajo de TI.
Esto incluye la búsqueda de flujos de trabajo de emisión de tarjetas de regalo, configuraciones de VPN y guías de acceso, hojas de cálculo o sistemas internos utilizados para emitir o rastrear tarjetas de regalo y otros detalles clave relacionados con máquinas virtuales y entornos Citrix.
En la siguiente fase, se descubrió que los actores de amenazas aprovechan la cuenta comprometida para enviar correos electrónicos de phishing internamente dentro de la organización para ampliar su presencia. Estos mensajes a menudo imitan las notificaciones de servicios de TI o las actualizaciones de tickets al hacer uso de información obtenida de documentación interna o comunicaciones anteriores.
Además, se sabe que Jingle Thief crea reglas en la bandeja de entrada para reenviar automáticamente correos electrónicos de cuentas pirateadas a direcciones bajo su control y luego encubrir rastros de la actividad moviendo los correos electrónicos enviados inmediatamente a Elementos eliminados.
En algunos casos, también se ha observado que el actor de amenazas registra aplicaciones de autenticación fraudulentas para eludir las protecciones de autenticación multifactor (MFA) e incluso registra sus dispositivos en Entra ID para mantener el acceso incluso después de que se restablezcan las contraseñas de las víctimas o se revoquen los tokens de sesión.
Además de su enfoque exclusivo en los servicios en la nube en lugar de comprometer los puntos finales, otro aspecto que hace que las campañas de Jingle Thief sean notables es su propensión al uso indebido de la identidad al implementar malware personalizado, minimizando así las posibilidades de detección.
«El fraude con tarjetas de regalo combina sigilo, velocidad y escalabilidad, especialmente cuando se combina con el acceso a entornos de nube donde residen los flujos de trabajo de emisión», dijo la Unidad 42. «Este enfoque discreto ayuda a evadir la detección y al mismo tiempo sienta las bases para futuros fraudes».
«Para explotar estos sistemas, los actores de amenazas necesitan acceso a documentación y comunicaciones internas. Pueden asegurar esto robando credenciales y manteniendo una presencia silenciosa y persistente dentro de los entornos de Microsoft 365 de las organizaciones específicas que brindan servicios de tarjetas de regalo».
Fuente