Le FBI américain et des chercheurs de Microsoft ont averti du danger posé par des opérations de fraude et d’hameçonnage orchestrées par des cybercriminels marocains. Ce groupe, connu sous le nom de « Lion de l’Atlas » ou « Storm-0539 » selon un mémo du FBI, se fait passer pour des associations caritatives dans le but de dérober des cartes-cadeaux électroniques des grandes enseignes américaines.
Le rapport précise qu’un groupe de cybercriminels marocains, opérant sous le couvert d’associations caritatives, s’est livré à une fraude sur des plateformes cloud. En effet, ils ont obtenu un accès gratuit au stockage de données en se faisant passer pour des organisations à but non lucratif. Cette manœuvre leur a permis de voler des cartes-cadeaux électroniques de grandes enseignes américaines, comme l’ont révélé des chercheurs de Microsoft et du FBI.
Selon la même source, ce groupe est actif depuis 2021, les chercheurs estiment que ces cybercriminels sont spécialisés dans le vol de cartes-cadeaux par le biais de la fraude. Ils ont réussi à tromper des plateformes cloud en se faisant passer pour des associations caritatives, obtenant ainsi un accès gratuit à des ordinateurs en ligne. Par la suite, ils ont piraté les systèmes de cartes-cadeaux des magasins en passant par les employés connectés à Internet, dérobant les cartes sans dépasser le plafond autorisé afin de ne pas éveiller les soupçons.
Dans un mémo daté du 6 mai 2024, la division cybernétique du FBI a indiqué avoir détecté en janvier 2024 « un groupe de cybercriminels baptisé STORM-0539 », ciblant des entreprises de vente au détail locales, notamment leurs cartes-cadeaux électroniques. Le FBI a déclaré que STORM-0539 a utilisé des campagnes de phishing pour cibler les employés et accéder à leurs comptes et aux systèmes des entreprises. Ensuite, ils ont mené d’autres campagnes de phishing pour cibler d’autres employés et obtenir des privilèges réseau plus élevés.
Le groupe cible les téléphones portables personnels et professionnels des employés des services de vente au détail dans ses opérations de phishing en ligne. Le FBI a détaillé les techniques employées, notamment « un ensemble d’outils de phishing sophistiqués capables de contourner l’authentification multifacteur ».
Une fois qu’un compte d’employé est piraté, le groupe « effectue une reconnaissance du réseau de l’entreprise pour comprendre le processus commercial des cartes-cadeaux, puis se concentre sur les comptes des employés qui gèrent ce portefeuille spécifique ».
Les membres de ce réseau tentent d’obtenir les mots de passe et les clés SSH, ainsi que de cibler les informations d’identification des employés du service des cartes-cadeaux. Une fois l’accès obtenu, « des cartes-cadeaux frauduleuses sont créées à partir des comptes d’employés piratés ».
Les manœuvres du groupe incluent également « le vol de données d’employés, y compris les noms d’utilisateur, et les numéros de téléphone, qui peuvent être utilisés pour mener des attaques supplémentaires ou être vendus à des fins lucratives ». Selon Emil Haegbarth, responsable des analystes du Microsoft Threat Intelligence Center, le groupe compte environ dix membres au Maroc. Il a expliqué : « Ils se connectent généralement en utilisant des comptes existants plutôt que de forcer l’accès ».
Microsoft a réussi à identifier le groupe qui a « créé des domaines pour se faire passer pour des organisations à but non lucratif, telles que des refuges pour animaux et des associations caritatives aux États-Unis et en Europe, et a obtenu des copies de la correspondance avec l’Internal Revenue Service les classant comme organisations à but non lucratif légitimes ».
Les recherches n’ont pas encore permis d’estimer le montant d’argent volé par le biais de ces cybercrimes.
