Jingle Thief – мароканска високопрофилна кибергрупа краде … gift карти

Picture of Здравко Боджов
Здравко Боджов
Зловреден код
24 октомври 2025

Нов доклад на Unit 42 разкрива дългосрочна, прецизно планирана кампания срещу глобални компании от сектора на търговията и услугите

Изследователи по киберсигурност предупреждават за организирана мароканска група хакери, която провежда внимателно планирани операции срещу международни корпорации, използвайки усъвършенствано социално инженерство и достъп до облачни среди, за да открадне подаръчни карти с висока стойност.

Gift картите отдавна са привлекателна цел за киберпрестъпниците – лесни за осребряване и почти невъзможни за проследяване, особено в пикови сезони като Коледа и Черен петък.

Финансово мотивирана група с държавно ниво на организация

Според доклада на Unit 42, изследователското звено на Palo Alto Networks, групата действа от територията на Мароко и се насочва основно към глобални предприятия в сферата на търговията и потребителските услуги. Кампанията, наречена от изследователите „Jingle Thief“, се отличава с техники, тактики и постоянство, напомнящи операции на държавно подкрепени групи.

„Тези хакери проявяват изключителна търпеливост и адаптивност, поддържайки достъп до корпоративни системи в продължение на месеци“, отбелязват анализаторите.

Внимание: фишинг без зловреден софтуер – само с прецизно инженерство

Основният подход на нападателите е фишинг, без да се използва зловреден код. Кампанията се базира на социално инженерство, чрез което атакуващите получават достъп до корпоративни облачни среди, предимно Microsoft 365.

В една от наблюдаваните атаки те запазили достъп почти 10 месеца и компрометирали над 60 потребителски акаунта в рамките на една единствена глобална компания.

Хакерите изпращат имейли и SMS-и с линкове към фалшиви портали за вход, които наподобяват реални страници на Microsoft. За да спечелят доверие, те се представят за НПО организации и благотворителни фондации, а истинският източник на атаката често остава прикрит чрез компрометирани WordPress сървъри.

Заблуждаващи URL адреси и достъп до корпоративните облаци

Една от най-коварните техники е заблуждаващото форматиране на URL адресите. Пример:

https://legitimateorganization[.]com@malicious.cl/workspace

Браузърът интерпретира всичко преди символа „@“ като потребителско име и реално отваря домейна „malicious.cl“, което прави фишинг връзките почти неразпознаваеми.

След като откраднат идентификационни данни, нападателите се вписват директно в Microsoft 365, извършват разузнаване в SharePoint, OneDrive и други облачни услуги, търсейки:

  • вътрешни процедури за издаване на gift карти;

  • конфигурации на VPN и виртуални среди;

  • таблици и системи за проследяване на картите;

  • достъп до Citrix и вътрешни приложения.

Интегриране и прикриване вътре в инфраструктурата

Хакерите не повишават привилегии и не използват зловреден код, а се разширяват вътрешно чрез вътрешен фишинг – използвайки компрометирани акаунти, за да изпращат убедителни имейли до други служители.

Те добавят правила за автоматично препращане на имейли относно gift карти, изтриват следите от атаката и дори злоупотребяват с функции на Microsoft Entra ID за самостоятелна регистрация на устройства.

„В някои случаи нападателите регистрираха собствени приложения за удостоверяване, за да заобиколят MFA, и продължиха достъпа си дори след нулиране на пароли,“ се казва в доклада.

Търпение, печалба и невидими следи

За разлика от много други, групата не прикрива източника си чрез VPN, което подсказва увереност и локална оперативна база в Мароко.
Хакерите изчакват с месеци, докато получат достъп до системите за издаване на карти, след което генерират високостойностни gift карти, които вероятно се продават на сиви пазари.

„Gift картовите системи често са слабо наблюдавани и лесно достъпни отвътре, което ги прави идеална цел за атаки, базирани на идентичности,“ заключават експертите от Unit 42.

Следи водят към Мароко

В рамките на разследването е идентифициран десетки IP адреси, регистрирани в Мароко, използвани по време на кампанията. Според Palo Alto Networks това потвърждава, че групата „Jingle Thief“ действа от територията на страната, с ясно изразен финансов мотив и професионална организация.

Киберпрестъпност без код, но с висока ефективност

„Jingle Thief“ е ясен пример за еволюцията на социалното инженерство – от спам кампании до дългосрочни, целенасочени операции, които заобикалят защитите и се вписват в легитимни облачни процеси.
Финансовият мотив остава същият, но методите стават все по-интелигентни – без вируси, без експлойти, само човешка манипулация и аналитично търпение.

#gift карти, # Jingle Thief, # Microsoft 365, # Palo Alto Networks, # Unit 42, # Мароко, # облачна атака, # социално инженерство
e-security.bg

Подобни

Amazon разкри мащабна APT операция
13.11.2025
Ducktail-malware_b
Landfall засяга устройства Samsung Galaxy
11.11.2025
spyware
Фалшиви съобщения примамват собственици на изгубени iPhone-и
7.11.2025
iPhone12Blue_shutterstock
239 зловредни приложения в Google Play с над 42 милиона изтегляния
6.11.2025
malware_android
Rhysida използва платформите на Microsoft за нова мащабна малуeр кампания
6.11.2025
malware-via-canva-1080x600
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.