A Star Blizzard (Oroszországhoz kapcsolható kiberbűnözői csoport) új spear-phishing kampányt folytat, hogy kompromittálja a kormányzati, diplomáciai, védelempolitikai, nemzetközi kapcsolatok és ukrán segélyszervezetek WhatsApp fiókjait. A Microsoft Threat Intelligence tájékoztatása alapján ez a kampány 2024. november közepén indult és a keretében alkalmazott módszereket, technikákat és eljárásokat nemrégiben hozták nyilvánosságra.
Rosszindulatú meghívások WhatsApp csoportokba
A Star Blizzard támadási folyamatának első lépése, hogy a célpontjának küldött e-mailben a támadó egy amerikai kormánytisztviselőnek adja ki magát. A levél meghívót tartalmaz egy Ukrajnát támogató nem kormányzati kezdeményezésekkel kapcsolatos WhatsApp csoportba.
Az e-mailben szándékosan egy törött QR-kód szerepel, hogy ezáltal a címzett egy alternatív hivatkozást kérjen, amivel majd csatlakozni tud (ezzel próbálják meg kikényszeríteni a címzettől a választ az emailre). Ha az áldozat válaszol a levélre akkor a Star Blizzard egy újabb e-mailt küld egy “t.ly” rövid linkkel, amely egy WhatsApp meghívó oldalt imitáló hamis weboldalra irányítja át, amelyen egy új QR kód szerepel. Az az új QR-kód azonban egy új eszközt (a támadóét) kapcsol össze az áldozat WhatsApp fiókjával.
A Microsoft szerint, ha az áldozat követi az oldalon található utasításokat, a támadó hozzáférhet a WhatsApp fiókjában lévő üzenetekhez és képes kinyerni belőlük az adatokat a meglévő böngészőbővítmények segítségével, amelyeket arra terveztek, hogy a WhatsApp-on keresztül elért fiókokból WhatsApp üzeneteket exportáljanak.
Mivel a támadás alapja a pszichológiai manipuláció és a víruskeresők nem azonosítanak rosszindulatú programokat, a felhasználóknak óvakodniuk kell a kéretlen levelektől, valamint fokozott óvatossággal kell eljárniuk, amikor meghívást kapnak különböző csoportokhoz való csatlakozásra.
Érdemes ellenőrizni a WhatsApp fiókhoz kapcsolt eszközöket is. Ez a mobil készüléken (iPhone vagy Android) található alkalmazás “Linked devices ( magyarul: Kapcsolt eszközök)” opcióijából lehetséges, ahol ki tud jelentkezni minden olyan eszközből, amelyet nem ismer fel.
