Ruská státní hackerská skupina Star Blizzard zahájila novou spear-phishingovou kampaň zaměřenou na kompromitaci účtů WhatsApp u cílů v oblasti vlády, diplomacie, obranné politiky, mezinárodních vztahů a organizací poskytujících pomoc Ukrajině.
Podle zprávy Microsoft Threat Intelligence byla tato kampaň zaznamenána v polovině listopadu 2024 a představuje taktický posun pro Star Blizzard v reakci na nedávné odhalení taktik, technik a postupů této hackerské skupiny.
Star Blizzard zahajuje útok tím, že se v e-mailových zprávách adresovaných cíli vydává za úředníka americké vlády. Návnada spočívá v pozvánce ke vstupu do WhatsApp skupiny související s nevládními iniciativami na podporu Ukrajiny. E-mail obsahuje záměrně poškozený QR kód, aby přiměl příjemce odpovědět a požádat o alternativní odkaz.
Pokud oběť odpoví, Star Blizzard zašle další e-mail s krátkým odkazem „t.ly“, který ji přesměruje na falešnou webovou stránku napodobující legitimní stránku s pozvánkou na WhatsApp s novým QR kódem.
Nový QR kód však slouží k propojení nového zařízení, tedy zařízení útočníka, s účtem WhatsApp oběti. „Pokud cíl postupuje podle pokynů na této stránce, útočník může získat přístup k zprávám v účtu WhatsApp a má možnost tyto údaje exfiltrovat pomocí stávajících pluginů prohlížeče, které jsou navrženy pro export zpráv z účtu přístupného přes WhatsApp Web,“ vysvětluje Microsoft.
Protože útok spoléhá výhradně na sociální inženýrství a neobsahuje žádný malware, který by mohl být detekován antivirovými nástroji, uživatelé by měli být obezřetní vůči nevyžádaným komunikacím a být zvláště opatrní při přijímání pozvánek ke vstupu do skupin.
Je také dobré zkontrolovat zařízení propojená s vaším účtem WhatsApp. To je možné provést v možnostech „Propojená zařízení“ v aplikaci na mobilním zařízení (iPhone nebo Android) a odhlásit jakékoli zařízení, které nepoznáváte.
Tato phishingová kampaň ukazuje, že přerušení činnosti Star Blizzard v říjnu 2024, kdy Microsoft a americké ministerstvo spravedlnosti zabavily nebo zneškodnily více než 180 domén používaných touto ruskou hackerskou skupinou, nemělo dlouhodobý dopad a hackeři pokračovali ve své činnosti zkoumáním jiných vektorů útoku.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
