.
Star Blizzard, uma prolífica equipe de phishing apoiada pelo Serviço Federal de Segurança Russo (FSB), conduziu uma nova campanha com o objetivo de comprometer contas do WhatsApp e obter acesso às suas mensagens e dados, segundo a Microsoft.
As expedições de phishing de credenciais do grupo normalmente perseguem alvos governamentais, diplomáticos e de política de defesa – especificamente de olho em funcionários e pesquisadores cujo trabalho envolve a política russa e a assistência à Ucrânia. Disseram-nos que este foi o único que tentou comprometer contas do WhatsApp por meio de e-mails convidando as vítimas a ingressar em um grupo falso do WhatsApp.
“Esta é a primeira vez que identificamos uma mudança nas táticas, técnicas e procedimentos (TTPs) de longa data da Star Blizzard para alavancar um novo vetor de acesso”, revelou Redmond em nova inteligência de ameaças na quinta-feira.
Star Blizzard também é rastreado como Callisto Group e Coldriver. Esta campanha específica, semelhante aos esforços anteriores, começa com um e-mail que se faz passar por um funcionário do governo dos EUA. A novidade é que inclui um código QR que convida os destinatários a aderir a um grupo de WhatsApp sobre “as mais recentes iniciativas não governamentais destinadas a apoiar ONGs ucranianas”.
De acordo com a Microsoft, o código QR fornecido é deliberadamente inválido na esperança de que os destinatários respondam diretamente ao e-mail, momento em que a Star Blizzard coloca a vítima em risco.
Quando o alvo responde, os hackers do FSB enviam um segundo e-mail com um Safe Link embalado para[.]link abreviado que pretende ser um link alternativo para ingressar no grupo. Este novo link, ao ser clicado, redireciona as vítimas para um site que solicita que elas leiam um código QR para ingressar no grupo do WhatsApp.
“No entanto, este código QR é realmente usado pelo WhatsApp para conectar uma conta a um dispositivo vinculado e/ou ao portal WhatsApp Web”, alertou Redmond. “Isso significa que se o alvo seguir as instruções nesta página, o agente da ameaça poderá obter acesso às mensagens em sua conta do WhatsApp e ter a capacidade de exfiltrar esses dados usando plug-ins de navegador existentes, projetados para exportar mensagens do WhatsApp de uma conta. acessado via WhatsApp Web.”
A equipe do Microsoft Threat Intelligence observou a atividade em meados de novembro e observou que a campanha parecia diminuir no final do mês. Isso ilustra a “tenacidade” da Star Blizzard em seus esforços de espionagem de phishing para roubar informações confidenciais de alvos de alto valor, disse Redmond.
A mudança para contas do WhatsApp provavelmente se deve aos esforços da Microsoft e de outras organizações, incluindo agências nacionais de segurança cibernética, para expor as táticas, técnicas e procedimentos (TTPs) típicos do FSB, levando a Star Blizzard a se adaptar, mudando para um novo método de acesso aos alvos. .
Em outubro, o Departamento de Justiça dos EUA e a Microsoft divulgaram que obtiveram ordens judiciais para confiscar sites usados pela Star Blizzard em campanhas de phishing direcionadas a agências governamentais dos EUA, grupos de reflexão e outras vítimas.
Desde 3 de outubro, o DOJ e Redmond apreenderam ou retiraram do ar mais de 180 sites relacionados a essa atividade, segundo nos disseram.
“Embora esta ação coordenada tenha tido um impacto de curto prazo nas operações de phishing da Star Blizzard, notamos na época que depois que a infraestrutura ativa deste ator de ameaça foi exposta, ele rapidamente fez a transição para novos domínios para continuar suas operações, indicando que o ator de ameaça é altamente resiliente a interrupções operacionais”, disse a Microsoft hoje. ®
.
