Um ator de ameaças patrocinado pelo Estado russo, conhecido como Star Blizzard, tem conduzido uma nova campanha de spear-phishing para comprometer contas do WhatsApp de alvos em órgãos governamentais, diplomacia, política de defesa, relações internacionais e organizações de auxílio à Ucrânia.
De acordo com um relatório do Microsoft Threat Intelligence, a campanha foi observada em meados de novembro de 2024 e representa uma mudança tática para o Star Blizzard como resposta à recente exposição das táticas, técnicas e procedimentos do ator de ameaça.
O Star Blizzard inicia o ataque se passando por um funcionário do governo dos EUA em mensagens de e-mail para o alvo.
O chamariz é um convite para participar de um grupo do WhatsApp relacionado a iniciativas não-governamentais de apoio à Ucrânia.
O e-mail contém um código QR intencionalmente quebrado, numa tentativa de forçar uma resposta do destinatário solicitando um link alternativo.
Se a vítima responder, o Star Blizzard envia outro e-mail com um link encurtado 't.ly', que direciona a pessoa para uma página falsa que imita uma página legítima de convite do WhatsApp com um novo código QR.
No entanto, o novo código QR serve para vincular um novo dispositivo, do atacante, à conta do WhatsApp da vítima.
"Se o alvo seguir as instruções nesta página, o ator de ameaça pode obter acesso às mensagens em sua conta do WhatsApp e ter a capacidade de exfiltrar esses dados usando plugins de navegador existentes, que são projetados para exportar mensagens do WhatsApp de uma conta acessada via WhatsApp Web," explica a Microsoft.
Como o ataque depende exclusivamente de engenharia social e não envolve malware para que ferramentas de antivírus possam detectar, os usuários devem estar atentos a comunicações não solicitadas e ter cautela extra ao receberem convites para entrar em grupos.
Também é uma boa ideia verificar os dispositivos vinculados à sua conta do WhatsApp.
Isso é possível a partir das opções "Dispositivos vinculados" no aplicativo no dispositivo móvel (iPhone ou Android) e sair de qualquer dispositivo que você não reconheça.
Esta campanha de phishing mostra que a interrupção da atividade do Star Blizzard em outubro de 2024, quando a Microsoft e o Departamento de Justiça dos EUA apreenderam ou desativaram mais de 180 domínios utilizados pelo grupo de ameaças russo, não teve um impacto de longo prazo e os hackers continuaram suas operações explorando outros vetores de ataque.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...