Den russiske statsstøttede hackergruppe Star Blizzard er i gang med en ny målrettet phishingkampagne.
Målet er at kompromittere WhatsApp-konti tilhørende personer i regeringer, diplomati, forsvarspolitik, internationale relationer og organisationer, der yder støtte til Ukraine.
Det rapporterer BleepingComputer på baggrund af en trusselsanalyse fra Microsoft Threat Intelligence.
Har skiftet taktik
Kampagnen blev første gang observeret i midten af november 2024 og repræsenterer et taktisk skifte for Star Blizzard, efter at deres tidligere metoder blev afsløret, lyder det.
Ifølge Microsoft indleder hackergruppen deres angreb ved at udgive sig for at være embedsmænd fra den amerikanske regering.
Ofrene modtager en e-mail med en invitation til at deltage i en WhatsApp-gruppe relateret til humanitære initiativer i Ukraine.
E-mailen indeholder et QR-kode-link, som påstås at føre til WhatsApp-gruppen.
Hvis offeret reagerer, sendes en opfølgende e-mail med et forkortet “t.ly”-link, der leder til en falsk webside, der efterligner en legitim WhatsApp-invitation.
Den nye QR-kode på denne side forbinder hackerens enhed til offerets WhatsApp-konto.
Følger offeret instruktionerne, får hackerne adgang til offerets beskeder og kan eksportere dataene via eksisterende browser-plugins, forklarer Microsoft.
Kun social engineering - ingen malware
Angrebet er særligt snedigt, fordi det udelukkende er baseret på social engineering og ikke involverer malware, der kan opdages af antivirusprogrammer.
Brugere rådes derfor til at være ekstra varsomme med uventede kommunikationer og invitationer til at tilslutte sig grupper.
Det anbefales samtidig også at tjekke for ukendte enheder tilknyttet ens WhatsApp-konto via funktionen 'tilknyttede enheder' under indstillinger i app'en på enten iPhone eller Android.
Hvis en ukendt enhed opdages, bør den straks logges ud, lyder opfordringen.
Omstillingsparate cyberkriminelle
Phishing-kampagne viser, at de tiltag, der blev gjort for at forstyrre Star Blizzards operationer i oktober 2024, ikke har haft en langvarig effekt.
Dengang lykkedes det Microsoft og det amerikanske justitsministerium at beslaglægge eller deaktivere over 180 domæner, som hackergruppen brugte.
Men Star Blizzard har altså hurtigt skiftet taktik og fremgangsmåde og fortsætter deres aktiviteter ved at udforske nye angrebsvektorer, som nu inkluderer udnyttelse af WhatsApp.
