Дослідники з Palo Alto Networks викрили групу марокканських хакерів, які діяли з надзвичайною витонченістю — від соціальної інженерії до компрометації хмарних середовищ — аби красти подарункові картки глобальних компаній. Хакерська група, яку дослідники назвали Jingle Thief, орієнтувалася на великі роздрібні та сервісні підприємства. Мета — отримати доступ до внутрішніх систем, де випускаються або відстежуються подарункові картки, а потім створювати чи викрадати їх для подальшого продажу.
За словами спеціалістів із Unit 42, група діяла з надзвичайною терплячістю: у деяких випадках зловмисники залишалися в системі до 10 місяців, поступово компрометуючи понад 60 облікових записів однієї компанії.
Хакери використовували соціальну інженерію, а не шкідливе ПЗ — жертви отримували листи або SMS із підробленими посиланнями на Microsoft 365, які виглядали правдоподібно через форматування URL-адрес із символом «@», що приховував справжній домен. Після отримання облікових даних зловмисники без підвищення привілеїв проводили розвідку у хмарних сервісах — OneDrive, SharePoint, Citrix, вишукуючи документи, пов’язані з процесом видачі карток. Вони не встановлювали віруси, а розсилали внутрішні фішингові листи з легітимних акаунтів, додаючи правила пересилання пошти для збору конфіденційних повідомлень.
Атаки тривали щонайменше десять місяців. Група маскувалася під ІТ-службу, надсилала «оновлення квитків» або «повідомлення про підтримку», що дозволяло уникати підозри. Дослідники виявили IP-адреси, зареєстровані в Марокко, а також зловживання легітимними механізмами Microsoft Entra ID — зокрема самореєстрацією пристроїв та обхід багатофакторної автентифікації (MFA).
Група не приховувала своє походження через VPN, що ще більше ускладнювало її виявлення стандартними методами.
Кампанія Jingle Thief демонструє, що навіть невеликі групи кіберзлочинців можуть діяти як державні APT-групи, поєднуючи соціальну інженерію, терплячість і знання корпоративних екосистем. Подарункові картки — хоч і здаються незначними, — стали прибутковою ціллю, яку компаніям варто контролювати не менше, ніж банківські операції.
