Actorul de stat rus Star Blizzard a desfășurat o nouă campanie de spear-phishing pentru a compromite conturile WhatsApp ale unor ținte din guvern, diplomație, politica de apărare, relații internaționale și organizații de ajutor pentru Ucraina.
Potrivit unui raport de inteligență al Microsoft Threat, campania a fost observată la mijlocul lunii noiembrie 2024 și reprezintă o schimbare tactică pentru Star Blizzard ca răspuns la expunerea recentă a tacticii, tehnicilor și procedurilor actorului de amenințare.
Star Blizzard începe atacul prin a se da drept un oficial guvernamental american în mesajele de email către țintă. Momeala este o invitație de a se alătura unui grup WhatsApp legat de inițiative non-guvernamentale care susțin Ucraina.
Emailul conține un cod QR intenționat defect, în încercarea de a forța un răspuns din partea destinatarului solicitând un link alternativ.
Dacă victima răspunde, Star Blizzard trimite un alt email cu un link scurt ‘t.ly’, care îi direcționează către o pagină web falsă care imită o pagină legitimă de invitație WhatsApp cu un nou cod QR.
Cu toate acestea, noul cod QR este destinat să lege un nou dispozitiv, al atacatorului, la contul WhatsApp al victimei.
„Dacă ținta urmează instrucțiunile de pe această pagină, actorul de amenințare poate obține acces la mesajele din contul lor WhatsApp și are capacitatea de a extrage aceste date folosind modulele de browser existente, care sunt proiectate pentru exportarea mesajelor WhatsApp dintr-un cont accesat prin WhatsApp Web,” explică Microsoft.
Deoarece atacul se bazează exclusiv pe inginerie socială și nu există malware implicat pentru uneltele antivirus să detecteze, utilizatorii ar trebui să fie precauți în privința comunicărilor nesolicitate și să exercite o atenție suplimentară atunci când primesc invitații de a se alătura grupurilor.
Este, de asemenea, o idee bună să verificați dispozitivele legate de contul dvs. WhatsApp. Aceasta este posibilă din opțiunile „Dispozitive conectate” din aplicație pe dispozitivul mobil (iPhone sau Android) și să vă deconectați de pe orice dispozitiv pe care nu-l recunoașteți.
Această campanie de phishing arată că perturbarea activității Star Blizzard în octombrie 2024, când Microsoft și Departamentul de Justiție al SUA au confiscat sau au închis peste 180 de domenii folosite de grupul de amenințare rus, nu a avut un impact pe termen lung și hackerii au continuat operațiunile lor explorând alte vectori de atac.
Campania de phishing inedită folosește documente Word corupte pentru a evita securitatea
Hackerii folosesc anunțuri Google Search pentru a fura conturile Google Ads
Mesajele de phishing înșală utilizatorii Apple iMessage să dezactiveze protecția
Hackerii MirrorFace vizează guvernul japonez, politicienii din 2019
Criminal IP: Aducând detectarea phishing-ului în timp real în Microsoft Outlook
Leave a Reply