Дослідники Unit 42 Palo Alto Networks розкрили фінансово мотивовану кампанію кібершахрайства “Jingle Thief”, проведену групою хакерів у Марокко. Націлена на глобальні підприємства в роздрібній торгівлі та споживчих послугах, атака фокусується на високовартісних додатках видачі подарункових карт у хмарних середовищах, зокрема Microsoft 365. Кампанія повністю залежить від фішингу без розгортання малварі, починаючись з обманних email або SMS, що заманюють жертв на підроблені портали входу Microsoft 365. Ці портали імітують легітимні сторінки входу, часто видаючи себе за неприбуткові організації чи НГО для довіри, і використовують скомпрометовані сервери WordPress для маскування походження. Посилання застосовують обфускацію URL, як “https://legitimateorganization[.][email protected][/]workspace”, де браузери інтерпретують частину перед “@” як облікові дані та переходять на зловмисний домен, уникаючи інструментів виявлення.

Після крадіжки облікових даних хакери аутентифікуються безпосередньо в Microsoft 365, проводять розвідку, видобуваючи SharePoint, OneDrive та інші сервіси на дані, пов’язані з подарунковими картами, як робочі процеси видачі, експорти тікетів, конфігурації VPN, електронні таблиці та доступ до віртуальних машин чи середовищ Citrix. Вони розширюють доступ через внутрішній фішинг з скомпрометованих легітимних акаунтів, імітуючи IT-сповіщення чи оновлення, та додають правила вхідної пошти для переадресації email з подарунковими картами, видаляючи сліди.