À medida que a temporada de festas se aproxima, um novo grupo cibercriminoso entra em cena com um alvo claro: a infraestrutura de nuvem corporativa. O grupo, conhecido como Jingle Thief, foi identificado pela Unit 42 da Palo Alto Networks por sua especialidade em comprometer ambientes Microsoft 365 para cometer fraudes em massa envolvendo vales-presente.
Neste artigo, explicamos em detalhes como o Jingle Thief opera, desde o phishing inicial até o contorno da autenticação multifator (MFA), e por que sua abordagem representa uma das ameaças mais sutis e eficazes já vistas contra empresas que dependem da nuvem.
A análise publicada pela Unit 42 serve de alerta: os criminosos estão evoluindo e, cada vez mais, usam credenciais legítimas em vez de malware, tornando a detecção muito mais difícil.
O que é o grupo Jingle Thief?
O Jingle Thief é um grupo de ameaça com motivação financeira, também rastreado como Storm-0539 e Atlas Lion, com origem provável no Marrocos. Seu foco principal é invadir organizações do setor de varejo e serviços, explorando o acesso à emissão de vales-presente corporativos — um mercado extremamente lucrativo no submundo digital.
Esses vales-presente são atraentes porque podem ser revendidos facilmente, não exigem identificação pessoal e deixam poucos rastros. Além disso, muitas empresas possuem fluxos internos automatizados de emissão desses créditos, o que facilita a exploração após o comprometimento da conta.
O nome “Jingle Thief” faz referência à sua atividade sazonal — o grupo intensifica ataques em períodos de festas, quando o volume de transações legítimas de vales-presente aumenta, tornando a detecção ainda mais difícil.
A anatomia do ataque: um mergulho profundo na nuvem
O ataque do Jingle Thief não depende de infecção de endpoints, mas sim de engenharia social e abuso de identidade. Seu foco é tomar o controle de contas corporativas no Microsoft 365 e permanecer nelas por longos períodos, explorando as próprias ferramentas da nuvem contra as vítimas.
Fase 1: o phishing direcionado
A operação começa com campanhas de phishing e smishing (mensagens SMS fraudulentas) altamente direcionadas. Os e-mails geralmente imitam comunicações internas de TI ou alertas de segurança do Microsoft 365, levando o usuário a clicar em links falsos de login.
O objetivo é simples: roubar credenciais de autenticação corporativa. Com acesso a essas contas, os atacantes obtêm uma porta de entrada legítima para todo o ambiente da organização.
Fase 2: reconhecimento e persistência
Uma vez dentro, o Jingle Thief inicia uma fase de reconhecimento silencioso. Eles exploram SharePoint, OneDrive e e-mails corporativos em busca de informações estratégicas:
- Documentos sobre fluxos de emissão de vales-presente;
- Planilhas financeiras e credenciais internas;
- Guias de configuração de VPN e políticas de TI.
Em seguida, estabelecem persistência de longo prazo, permanecendo meses — ou até mais de um ano — sem serem detectados. Isso é possível graças ao uso de credenciais válidas e atividades que imitam o comportamento normal de funcionários legítimos.
Fase 3: movimento lateral e evasão de MFA
Para expandir seu acesso, o grupo utiliza phishing interno — enviando mensagens fraudulentas a partir de contas comprometidas, o que aumenta a taxa de sucesso, já que os e-mails vêm de remetentes confiáveis.
O ponto mais sofisticado do ataque está na evasão de autenticação multifator (MFA). O Jingle Thief registra aplicativos autenticadores não autorizados nas contas das vítimas, permitindo burlar verificações futuras de MFA.
Usando o Entra ID (antigo Azure AD), os hackers registram seus próprios dispositivos como “confiáveis”. Mesmo que a senha da vítima seja redefinida, eles continuam tendo acesso.
Além disso, criam regras de caixa de entrada que encaminham ou apagam e-mails, ocultando qualquer alerta de segurança.
Por que este ataque é tão perigoso e difícil de detectar?
O Jingle Thief é especialmente perigoso porque não usa malware tradicional. Em vez disso, emprega uma estratégia conhecida como “living off the land” — usando as próprias ferramentas e credenciais da nuvem para operar.
Isso significa que soluções de antivírus ou EDRs convencionais não detectam a invasão, pois não há código malicioso sendo executado.
As ações do invasor parecem legítimas, realizadas por usuários autenticados com MFA, o que confunde ferramentas de monitoramento baseadas em comportamento.
Outro ponto crítico: ao invadir diretamente o sistema de emissão de vales-presente, o grupo evita a complexidade de atacar sistemas de ponto de venda (PDV). Essa abordagem direta garante ganhos rápidos e riscos reduzidos.
Como proteger sua organização contra o Jingle Thief
Proteger-se contra o Jingle Thief exige foco na segurança de identidade e monitoramento do ambiente em nuvem, e não apenas na detecção de malware.
Monitoramento rigoroso do Entra ID
É essencial auditar novos registros de dispositivos e aplicativos autenticadores (MFA) no Entra ID.
Qualquer registro que o usuário não reconheça deve ser tratado como um incidente crítico de segurança.
Além disso, monitore mudanças em políticas de acesso e tokens de autenticação inusitados, indicadores claros de persistência.
Reforço contra phishing
A primeira linha de defesa continua sendo o usuário bem treinado. Realize treinamentos regulares sobre phishing e smishing, destacando táticas de engenharia social usadas para obter logins corporativos.
Implemente MFA resistente a phishing, como FIDO2 ou Passkeys, substituindo métodos baseados em SMS ou push notifications, que são mais fáceis de interceptar.
Auditoria de acesso e privilégios
Faça revisões periódicas de quem tem acesso aos fluxos de emissão de vales-presente e aplique o princípio do menor privilégio.
Monitore logs do SharePoint e OneDrive para identificar downloads em massa ou acessos fora do horário comercial.
O uso de SIEMs e ferramentas de detecção comportamental baseadas em identidade pode acelerar a identificação de anomalias sutis.
Conclusão: a segurança na nuvem exige vigilância constante
O Jingle Thief representa a evolução do cibercrime corporativo, que hoje mira identidades e acessos na nuvem, e não apenas sistemas locais.
Sua eficiência demonstra que segurança na nuvem não é apenas uma questão de firewall ou antivírus, mas de governança de identidade, auditoria e comportamento de usuários.
Empresas que utilizam Microsoft 365 devem revisar imediatamente seus registros de dispositivos e métodos de autenticação no Entra ID, especialmente neste período de festas — quando ataques disfarçados de comunicações legítimas são mais prováveis.
A mensagem é clara: a nuvem não é o problema, mas o que você não monitora nela pode ser.
