Ataque de PHISHING mira WhatsApp
20 de Janeiro de 2025

Um ator de ameaças patrocinado pelo Estado russo, conhecido como Star Blizzard, tem conduzido uma nova campanha de spear-phishing para comprometer contas do WhatsApp de alvos em órgãos governamentais, diplomacia, política de defesa, relações internacionais e organizações de auxílio à Ucrânia.

De acordo com um relatório do Microsoft Threat Intelligence, a campanha foi observada em meados de novembro de 2024 e representa uma mudança tática para o Star Blizzard como resposta à recente exposição das táticas, técnicas e procedimentos do ator de ameaça.

O Star Blizzard inicia o ataque se passando por um funcionário do governo dos EUA em mensagens de e-mail para o alvo.

O chamariz é um convite para participar de um grupo do WhatsApp relacionado a iniciativas não-governamentais de apoio à Ucrânia.

O e-mail contém um código QR intencionalmente quebrado, numa tentativa de forçar uma resposta do destinatário solicitando um link alternativo.

Se a vítima responder, o Star Blizzard envia outro e-mail com um link encurtado 't.ly', que direciona a pessoa para uma página falsa que imita uma página legítima de convite do WhatsApp com um novo código QR.

No entanto, o novo código QR serve para vincular um novo dispositivo, do atacante, à conta do WhatsApp da vítima.

"Se o alvo seguir as instruções nesta página, o ator de ameaça pode obter acesso às mensagens em sua conta do WhatsApp e ter a capacidade de exfiltrar esses dados usando plugins de navegador existentes, que são projetados para exportar mensagens do WhatsApp de uma conta acessada via WhatsApp Web," explica a Microsoft.

Como o ataque depende exclusivamente de engenharia social e não envolve malware para que ferramentas de antivírus possam detectar, os usuários devem estar atentos a comunicações não solicitadas e ter cautela extra ao receberem convites para entrar em grupos.

Também é uma boa ideia verificar os dispositivos vinculados à sua conta do WhatsApp.

Isso é possível a partir das opções "Dispositivos vinculados" no aplicativo no dispositivo móvel (iPhone ou Android) e sair de qualquer dispositivo que você não reconheça.

Esta campanha de phishing mostra que a interrupção da atividade do Star Blizzard em outubro de 2024, quando a Microsoft e o Departamento de Justiça dos EUA apreenderam ou desativaram mais de 180 domínios utilizados pelo grupo de ameaças russo, não teve um impacto de longo prazo e os hackers continuaram suas operações explorando outros vetores de ataque.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...