Hakerzy Wykorzystują WhatsApp w Nowej Kampanii Phishingowej

Rosyjska grupa hakerów, Star Blizzard, celuje w konta WhatsApp w celu ich kompromitacji – doniósł Microsoft Threat Intelligence 16 stycznia. Oznacza to zmianę taktyki grupy, z Microsoftem zauważającym to jako pierwszy przypadek, kiedy Star Blizzard przyjmuje nowy wektor dostępu, odbiegając od ich ustalonych metod.

W listopadzie 2024 roku, Microsoft Threat Intelligence wykryło znaczącą zmianę w taktyce „Star Blizzard”, rosyjskiej grupy hakerów znanej z atakowania urzędników rządowych, dyplomatów i organizacji pozarządowych.

Grupa wprowadziła nową metodę phishingu, wykorzystując WhatsApp jako punkt dostępu, co stanowi odejście od ich tradycyjnych strategii. Atak rozpoczął się od sfałszowanego maila typu spear-phishing, imitującego urzędnika rządu USA.

Mail zapraszał adresatów do dołączenia do grupy na WhatsApp, rzekomo skupiającej się na wsparciu dla ukraińskich organizacji pozarządowych. E-mail zawierał kod QR, który rzekomo miał połączyć użytkowników z grupą, ale celowo nie działał poprawnie, aby skłonić odbiorców do odpowiedzi.

Gdy celem odpowiedziały, otrzymywały kolejnego maila z krótkim adresem URL prowadzącym do fałszywej strony internetowej naśladującej legalną stronę WhatsApp.

Na tej stronie ofiary były proszone o zeskanowanie kodu QR w celu dołączenia do grupy. W rzeczywistości, ten kod dawał hakerom dostęp do kont WhatsApp ofiar, wykorzystując system łączenia kont platformy. Dzięki wtyczkom do przeglądarek, Star Blizzard mógł wydobywać poufne wiadomości.

Grupa Star Blizzard, wcześniej znana z celowania w dziennikarzy i organizacje społeczne, dostosowała się do zakłóceń operacyjnych. Od 2023 roku grupa ta prowadziła kampanie spear-phishingowe w celu kradzieży informacji i zakłócania działań, jak zauważono w raporcie Microsoftu.

Microsoft i Departament Sprawiedliwości USA zamknęli ponad 180 domen phishingowych powiązanych z grupą w październiku 2024 roku. Mimo tych starań, hakerzy szybko przeszli na nowe domeny i metody.

Ta niedawna kampania, która zakończyła się pod koniec listopada, podkreśla wytrwałość i zdolność do adaptacji grupy. Również zwraca uwagę na ewoluujące wyzwania związane z cyberbezpieczeństwem, z którymi organizacje muszą się mierzyć.

Aby zminimalizować takie ryzyko, Microsoft zaleca korzystanie z narzędzi takich jak Defender dla Endpoint, włączanie środków przeciwdziałania phishingowi, ochrony przed manipulacją i aktualizacji antywirusowych dostarczanych w czasie rzeczywistym przez chmurę. Organizacje powinny również szkolić pracowników w zakresie rozpoznawania prób phishingu, szczególnie tych, które zawierają linki lub kody QR.

Dla zwiększenia bezpieczeństwa, eksperci zalecają weryfikowanie podejrzanych wiadomości e-mail poprzez kontakt z nadawcą za pośrednictwem zaufanych kanałów i stosowanie bezpiecznych praktyk przeglądania internetu.

Ten incydent podkreśla znaczenie proaktywnych działań z zakresu cyberbezpieczeństwa, gdyż sprawcy zagrożeń opracowują nowe sposoby naruszenia obrony, przekształcając nawet powszechnie używane narzędzia, takie jak WhatsApp, w potencjalne wektory ataku.