- Microsoft vio a Star Blizzard participar en un ataque con lanza
- El grupo persigue las cuentas de WhatsApp de diplomáticos y empleados gubernamentales involucrados en la guerra entre Ucrania y Rusia.
- El ataque de suplantación utiliza códigos QR
Se ha visto a un actor de amenazas patrocinado por el Estado ruso participando en una campaña cibernética única destinada a apoyar el esfuerzo bélico del país contra Ucrania.
Investigadores de Microsoft Threat Intelligence expuesto Recientemente se ha visto al grupo Star Blizzard haciéndose pasar por cuentas de WhatsApp pertenecientes a diplomáticos, funcionarios gubernamentales, investigadores de políticas de defensa o relaciones internacionales y otras personas que, en cualquier capacidad, trabajan en la guerra entre Rusia y Ucrania.
Aparentemente, la campaña comenzó a mediados de noviembre de 2024, y Microsoft advirtió a todos los usuarios que permanecieran siempre atentos al manejar el correo electrónico, especialmente aquellos que contienen enlaces a recursos externos.
Se filtran datos de WhatsApp
El ataque comienza con un correo electrónico que se hace pasar por un funcionario del gobierno de Estados Unidos. El cuerpo del correo electrónico analiza iniciativas recientes de ONG destinadas a apoyar a las ONG en Ucrania y proporciona un código QR para un grupo privado de WhatsApp que discute estos asuntos.
El código QR es ilegal, dijeron los investigadores, y especularon que pudo haber sido intencional para que la víctima se pusiera en contacto y solicitara un nuevo código. Luego, el mensaje de seguimiento proporciona un enlace abreviado envuelto en un enlace seguro que conduce a un sitio web con un código QR separado. Sin embargo, esto conecta la cuenta de WhatsApp a un dispositivo separado, propiedad de los atacantes.
“Esto significa que si el objetivo sigue las instrucciones de esta página, el actor de la amenaza puede obtener acceso a los mensajes de su cuenta de WhatsApp y tener la capacidad de filtrar estos datos utilizando extensiones de navegador existentes, diseñadas para exportar mensajes de WhatsApp desde la cuenta a la que se accede a través de WhatsApp Web”, dijeron los investigadores de Microsoft en su artículo.
El vector de ataque es relativamente nuevo, agregaron, especulando que Star Blizzard tuvo que adaptarse después de un análisis exhaustivo por parte de la comunidad de ciberseguridad: “Esta es la primera vez que hemos visto un cambio en las tácticas, técnicas y procedimientos (TTP) de larga data de Star Blizzard. ) para aprovechar un nuevo vector de acceso”, concluyó Redmond.