O ator de ameaças russo conhecido como Star Blizzard foi associado a uma nova campanha de spear-phishing que visa as contas do WhatsApp das vítimas, sinalizando uma mudança em relação às suas técnicas de longa data, em uma tentativa provável de evitar detecção.
"Os alvos do Star Blizzard estão mais comumente relacionados ao governo ou à diplomacia (ocupantes de cargos atuais e anteriores), pesquisadores de políticas de defesa ou relações internacionais cujo trabalho se relaciona com a Rússia, e fontes de assistência à Ucrânia relacionadas à guerra com a Rússia", disse a equipe de Inteligência de Ameaças da Microsoft em um relatório compartilhado.
Star Blizzard (anteriormente SEABORGIUM) é um cluster de atividades de ameaças vinculado à Rússia, conhecido por suas campanhas de harvesting de credenciais.
Ativo desde pelo menos 2012, também é rastreado sob os nomes Blue Callisto, BlueCharlie (ou TAG-53), Calisto (grafado alternadamente como Callisto), COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 e UNC4057.
Cadeias de ataque anteriormente observadas envolveram o envio de e-mails de spear-phishing para alvos de interesse, geralmente de uma conta Proton, anexando documentos que incorporam links maliciosos que redirecionam para uma página potencializada por Evilginx capaz de harvestar credenciais e códigos de autenticação de dois fatores (2FA) via um ataque adversary-in-the-middle (AiTM).
Star Blizzard também foi associado ao uso de plataformas de marketing por email como HubSpot e MailerLite para ocultar os verdadeiros endereços de remetentes de email e obviar a necessidade de incluir infraestrutura de domínio controlada pelo ator nas mensagens de email.
No final do ano passado, a Microsoft e o Departamento de Justiça dos EUA (DoJ) anunciaram a apreensão de mais de 180 domínios que foram usados pelo ator de ameaça para atingir jornalistas, think tanks e organizações não-governamentais (ONGs) entre janeiro de 2023 e agosto de 2024.
A gigante da tecnologia avaliou que a divulgação pública de suas atividades pode ter provavelmente levado a equipe de hacking a mudar suas táticas, comprometendo contas do WhatsApp.
Isso dito, a campanha parece ter sido limitada e encerrada no final de novembro de 2024.
"Os alvos pertencem principalmente aos setores governamental e diplomático, incluindo funcionários atuais e anteriores", disse Sherrod DeGrippo, diretor de estratégia de inteligência de ameaças na Microsoft.
Além disso, os alvos englobam indivíduos envolvidos em política de defesa, pesquisadores em relações internacionais focando na Rússia, e aqueles fornecendo assistência à Ucrânia em relação à guerra com a Rússia.
Tudo começa com um e-mail de spear-phishing que pretende ser de um oficial do governo dos EUA para dar-lhe um verniz de legitimidade e aumentar a probabilidade de que a vítima se engaje com eles.
A mensagem contém um código de resposta rápida (QR) que insta os destinatários a se juntarem a um suposto grupo do WhatsApp sobre "as últimas iniciativas não-governamentais voltadas ao apoio a ONGs ucranianas".
O código, porém, é deliberadamente quebrado para provocar uma resposta da vítima.
Se o destinatário do e-mail responder, o Star Blizzard envia uma segunda mensagem, pedindo-lhes para clicar em um link encurtado t[.]ly para ingressar no grupo do WhatsApp, enquanto pede desculpas pelo inconveniente causado.
"Quando esse link é seguido, o alvo é redirecionado para uma página da web pedindo para escanear um código QR para ingressar no grupo", a Microsoft explicou.
No entanto, esse código QR é na verdade usado pelo WhatsApp para conectar uma conta a um dispositivo vinculado e/ou o portal WhatsApp Web.
Caso o alvo siga as instruções no site ("aerofluidthermo[.]org"), a abordagem permite que o ator de ameaças ganhe acesso não autorizado às suas mensagens do WhatsApp e até exfiltre os dados via extensões de navegador.
Indivíduos pertencentes aos setores visados pelo Star Blizzard são aconselhados a exercer cautela ao lidar com e-mails contendo links para fontes externas.
A campanha "marca uma quebra nas TTPs de longa duração do Star Blizzard e destaca a tenacidade do ator de ameaça em continuar campanhas de spear-phishing para obter acesso a informações sensíveis mesmo diante de repetidas degradações de suas operações."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...