Investigadores de ciberseguridad han arrojado luz sobre un clan cibercriminal llamado Descuidero de cascabeles Esto se ha observado en entornos de aglomeración asociados con organizaciones de los sectores minorista y de servicios al consumidor para cometer fraude con tarjetas de regalo.
“Los atacantes de Jingle Thief utilizan phishing y smishing para robar credenciales y comprometer a las organizaciones que emiten tarjetas de regalo”, dijeron los investigadores de la Pelotón 42 de Palo Suspensión Networks, Stav Setty y Shachar Roitman, en un prospección del miércoles. “Una vez que obtienen golpe a una ordenamiento, buscan el tipo y nivel de golpe necesario para emitir tarjetas de regalo no autorizadas”.
El objetivo final de estos esfuerzos es servirse las tarjetas de regalo emitidas para obtener ganancias monetarias probablemente revendiéndolas en los mercados grises. Las tarjetas de regalo son una opción lucrativa, ya que pueden canjearse fácilmente con información personal mínima y son difíciles de rastrear, lo que dificulta que los defensores investiguen el fraude.
El nombre Jingle Thief es un aviso al patrón del actor de amenazas de realizar fraudes con tarjetas de regalo coincidiendo con temporadas festivas y períodos festivos. La empresa de ciberseguridad está rastreando la actividad bajo el nombre CL‑CRI‑1032, donde “CL” significa clúster y “CRI” se refiere a motivación criminal.
El clan de amenazas se ha atribuido con moderada confianza a grupos criminales rastreados como Atlas Lion y Storm-0539, y Microsoft lo describe como un equipo con motivación financiera originario de Marruecos. Se cree que está activo desde al menos finales de 2021.
La capacidad de Jingle Thief para ayudar puntos de apoyo interiormente de organizaciones comprometidas durante períodos prolongados, en algunos casos durante más de un año, lo convierte en un clan peligroso. Durante el tiempo que pasa con los entornos, el actor de amenazas realiza un examen completo para mapear el entorno de la aglomeración, se mueve lateralmente a través de la aglomeración y toma medidas para evitar la detección.
La Pelotón 42 dijo que observó al clan de piratas informáticos difundir una ola de ataques coordinados contra varias empresas globales en abril y mayo de 2025, utilizando ataques de phishing para obtener las credenciales necesarias para violar la infraestructura de la aglomeración de las víctimas. En una campaña, se dice que los atacantes mantuvieron el golpe durante aproximadamente 10 meses y accedieron a 60 cuentas de agraciado interiormente de una sola ordenamiento.
“Explotan la infraestructura basada en la aglomeración para hacerse producirse por usuarios legítimos, obtener golpe no facultado a datos confidenciales y resistir a parte fraudes con tarjetas de regalo a escalera”, señalaron los investigadores.
Los ataques a menudo implican intentos de obtener a aplicaciones de expulsión de tarjetas de regalo para emitir tarjetas de parada valencia a través de diferentes programas, garantizando al mismo tiempo que estas acciones dejen registros y rastros forenses mínimos.
 |
| Dependencia de ataques de phishing de Jingle Thief en Microsoft 365 |
Asimismo están en extremo dirigidos y adaptados a cada víctima, y los actores de amenazas llevan a parte un examen ayer de mandar páginas de inicio de sesión de phishing persuasivas por correo electrónico o SMS que pueden engañar a las víctimas y engañarlas para que ingresen sus credenciales de Microsoft 365.
Tan pronto como se recopilan las credenciales, los atacantes no pierden el tiempo iniciando sesión en el entorno y llevan a parte una segunda ronda de examen, esta vez apuntando al SharePoint y OneDrive de la víctima en búsqueda de información relacionada con operaciones comerciales, procesos financieros y flujos de trabajo de TI.
Esto incluye la búsqueda de flujos de trabajo de expulsión de tarjetas de regalo, configuraciones de VPN y guías de golpe, hojas de cálculo o sistemas internos utilizados para emitir o rastrear tarjetas de regalo y otros detalles secreto relacionados con máquinas virtuales y entornos Citrix.
En la subsiguiente etapa, se descubrió que los actores de amenazas aprovechan la cuenta comprometida para mandar correos electrónicos de phishing internamente interiormente de la ordenamiento para ampliar su presencia. Estos mensajes a menudo imitan las notificaciones de servicios de TI o las actualizaciones de tickets al hacer uso de información obtenida de documentación interna o comunicaciones anteriores.
Adicionalmente, se sabe que Jingle Thief crea reglas en la bandeja de entrada para reenviar automáticamente correos electrónicos de cuentas pirateadas a direcciones bajo su control y luego encubrir rastros de la actividad moviendo los correos electrónicos enviados inmediatamente a Rudimentos eliminados.
En algunos casos, todavía se ha observado que el actor de amenazas registra aplicaciones de autenticación fraudulentas para eludir las protecciones de autenticación multifactor (MFA) e incluso registra sus dispositivos en Entra ID para ayudar el golpe incluso posteriormente de que se restablezcan las contraseñas de las víctimas o se revoquen los tokens de sesión.
Adicionalmente de su enfoque exclusivo en los servicios en la aglomeración en ocupación de comprometer los puntos finales, otro aspecto que hace que las campañas de Jingle Thief sean notables es su propensión al uso indebido de la identidad al implementar malware personalizado, minimizando así las posibilidades de detección.
“El fraude con tarjetas de regalo combina sigilo, velocidad y escalabilidad, especialmente cuando se combina con el golpe a entornos de aglomeración donde residen los flujos de trabajo de expulsión”, dijo la Pelotón 42. “Este enfoque discreto ayuda a esquivar la detección y al mismo tiempo sienta las bases para futuros fraudes”.
“Para explotar estos sistemas, los actores de amenazas necesitan golpe a documentación y comunicaciones internas. Pueden reforzar esto robando credenciales y manteniendo una presencia silenciosa y persistente interiormente de los entornos de Microsoft 365 de las organizaciones específicas que brindan servicios de tarjetas de regalo”.
