Il gruppo di cybercriminali denominato Jingle Thief è recentemente balzato agli onori della cronaca per una serie di attacchi sofisticati contro infrastrutture cloud di organizzazioni attive nei settori retail e servizi al consumatore. Il loro obiettivo principale è la frode su gift card, un fenomeno in preoccupante crescita per la facilità di monetizzazione e la difficoltà di tracciamento di queste carte digitali. Jingle Thief si serve di tecniche di phishing e smishing per sottrarre credenziali di accesso, in particolare puntando alle aziende che emettono gift card.
Una volta ottenuto l’accesso iniziale attraverso campagne di phishing mirate, i criminali informatici cercano di espandere i propri privilegi all’interno degli ambienti cloud compromessi, focalizzandosi sull’ottenere i permessi necessari per emettere carte regalo non autorizzate. Le gift card così create vengono poi monetizzate attraverso la rivendita in mercati paralleli. La scelta di queste carte risiede nella loro facilità di utilizzo e nella scarsità di dati personali richiesti, ostacolando le indagini delle aziende vittime.
Il nome Jingle Thief non è casuale: il gruppo tende a intensificare le proprie attività in prossimità delle festività, quando la richiesta di gift card cresce esponenzialmente. Secondo le ricerche di Palo Alto Networks, Jingle Thief è attivo almeno dal 2021 e viene associato a criminali già noti come Atlas Lion e Storm-0539, con radici attribuite al Marocco.
Una caratteristica peculiare di Jingle Thief è la capacità di mantenere l’accesso alle infrastrutture cloud delle vittime per lunghi periodi, anche oltre un anno. Durante questo tempo, gli attaccanti conducono attività di ricognizione per mappare la struttura cloud, muovendosi lateralmente e adottando tecniche per evitare la rilevazione. Le campagne osservate hanno visto la compromissione anche di decine di account utente all’interno della stessa azienda, tramite l’invio di email di phishing interne che imitano notifiche IT o aggiornamenti di ticket.
Per rimanere invisibili, Jingle Thief adotta strategie come la creazione di regole automatiche che inoltrano la posta delle vittime verso indirizzi controllati dai criminali e l’immediato spostamento dei messaggi inviati nella cartella Posta Eliminata. In alcuni casi è stato documentato anche l’uso di app di autenticazione fraudolente per eludere la multi factor authentication e la registrazione di dispositivi malevoli nei sistemi di gestione delle identità come Entra ID.
L’approccio orientato all’abuso di identità, senza l’installazione di malware dedicati, rende ancora più difficile l’individuazione degli attacchi, che sfruttano la scalabilità e la rapidità delle operazioni cloud per colpire su larga scala.