Le FBI a averti les entreprises de vente au détail aux États-Unis qu’un groupe de piratage motivé financièrement ciblait les employés de leurs départements de cartes-cadeaux dans des attaques de phishing depuis au moins janvier 2024.
Identifié sous le nom de Storm-0539, ce groupe de piratage cible les appareils mobiles personnels et professionnels du personnel du département de vente au détail à l’aide d’un kit de phishing sophistiqué qui leur permet de contourner l’authentification multifacteur.
En infiltrant le compte d’un employé, les attaquants se déplacent latéralement à travers le réseau, essayant d’identifier le processus commercial des cartes-cadeaux et se dirigeant vers des comptes compromis liés à ce portefeuille spécifique.
En plus de voler les identifiants de connexion du personnel du département des cartes-cadeaux, leurs efforts s’étendent à l’acquisition de mots de passe et de clés Secure Shell (SSH). Avec les informations volées sur les employés telles que les noms, les noms d’utilisateur et les numéros de téléphone, celles-ci pourraient être vendues à des fins financières ou exploitées par Storm-0539 lors d’attaques futures.
Si les pirates parviennent à pirater le service des cartes-cadeaux d’entreprise de la victime, ils utilisent des comptes d’employés compromis pour générer des cartes-cadeaux frauduleuses.
« Dans un cas, une société a détecté l’activité frauduleuse de cartes-cadeaux de STORM-0539 dans son système et a mis en place des modifications pour empêcher la création de cartes-cadeaux frauduleuses », a déclaré le FBI dans une Notification de l’industrie privée [PDF] publiée cette semaine.
« Les acteurs de STORM-0539 ont poursuivi leurs attaques par sms et ont retrouvé l’accès aux systèmes de l’entreprise. Ensuite, les acteurs ont pivoté la tactique pour localiser les cartes-cadeaux non échangées et ont changé les adresses e-mail associées en celles contrôlées par les acteurs de STORM-0539 afin d’échanger les cartes-cadeaux. »
Comment se défendre contre les attaques de Storm-0539
Le FBI conseille aux entreprises de vente au détail à travers les États-Unis d’examiner et de mettre à jour leurs plans de réponse aux incidents et d’envisager de former leurs employés à reconnaître les escroqueries par hameçonnage et à ne pas partager d’informations sensibles telles que les informations d’identification par e-mail, chat ou appels téléphoniques afin de réduire le risque et l’impact de ces attaques de phishing.
Les cibles potentielles doivent également exiger une authentification multifacteur dans la mesure du possible, utiliser des solutions antivirus et antimalware à jour, mettre en œuvre des politiques de mots de passe robustes et appliquer le principe du moindre privilège sur leurs réseaux.
L’ÉPINGLE du FBI fait suite à un avertissement de Microsoft à la mi-décembre, qui mettait en garde contre une recrudescence des fraudes et des vols de cartes-cadeaux Storm-0539 pendant la période des Fêtes.
« Après avoir eu accès à une session initiale et à un jeton, Storm-0539 enregistre son propre appareil pour les invites d’authentification secondaires ultérieures, contournant les protections MFA et persistant dans l’environnement en utilisant l’identité entièrement compromise », a déclaré Microsoft.
« À chaque compromis réussi, Storm-0539 augmente les privilèges, se déplace latéralement et accède aux ressources du cloud pour collecter des informations spécifiques. Storm-0539 énumère les ressources internes et identifie les services liés aux cartes-cadeaux qui peuvent être utilisés pour la fraude par carte-cadeau. »