actualizado Star Blizzard, un prolífico equipo de phishing respaldado por el Servicio Federal de Seguridad de Rusia (FSB), llevó a cabo una nueva campaña con el objetivo de comprometer las cuentas de WhatsApp y obtener acceso a sus mensajes y datos, según Microsoft.
Las expediciones de phishing de credenciales del grupo suelen perseguir objetivos gubernamentales, diplomáticos y de políticas de defensa, específicamente con la vista puesta en funcionarios e investigadores cuyo trabajo involucra la política rusa y la asistencia a Ucrania. Se nos dice que este era único porque intentaba comprometer cuentas de WhatsApp mediante correos electrónicos invitando a las víctimas a unirse a un grupo falso de WhatsApp.
«Esta es la primera vez que identificamos un cambio en las tácticas, técnicas y procedimientos (TTP) de larga data de Star Blizzard para aprovechar un nuevo vector de acceso», Redmond revelado en nueva inteligencia sobre amenazas el jueves.
Star Blizzard también es rastreada como Grupo Calisto y conductor frío. Esta campaña en particular, similar a esfuerzos anteriores, comienza con un correo electrónico en el que se hace pasar por un funcionario del gobierno de Estados Unidos. La novedad es que incluye un código QR que invita a los destinatarios a unirse a un grupo de WhatsApp sobre «las últimas iniciativas no gubernamentales destinadas a apoyar a las ONG de Ucrania».
Según Microsoft, el código QR proporcionado es deliberadamente inválido con la esperanza de que los destinatarios respondan directamente al correo electrónico, momento en el que Star Blizzard tiene a la víctima en apuros.
Cuando el objetivo responde, los piratas informáticos del FSB envían un segundo correo electrónico con un enlace seguro envuelto (.)ly acortado que pretende ser un enlace alternativo para unirse al grupo. Al hacer clic en este nuevo enlace, se redirige a las víctimas a un sitio web que les pide que escaneen un código QR para unirse al grupo de WhatsApp.
«Sin embargo, WhatsApp utiliza este código QR para conectar una cuenta a un dispositivo vinculado y/o al portal web de WhatsApp», advirtió Redmond. «Esto significa que si el objetivo sigue las instrucciones de esta página, el actor de la amenaza puede obtener acceso a los mensajes de su cuenta de WhatsApp y tener la capacidad de extraer estos datos utilizando complementos de navegador existentes, que están diseñados para exportar mensajes de WhatsApp desde una cuenta. Se accede a través de WhatsApp Web.»
El equipo de Microsoft Threat Intelligence observó la actividad a mediados de noviembre y notó que la campaña parecía terminar a finales de mes. Esto ilustra la «tenacidad» de Star Blizzard en sus esfuerzos de espionaje de phishing para robar información confidencial de objetivos de alto valor, dijo Redmond.
El cambio a las cuentas de WhatsApp probablemente se deba a los esfuerzos de Microsoft y otras organizaciones, incluidas las agencias nacionales de ciberseguridad, para exponer las tácticas, técnicas y procedimientos (TTP) típicos del FSB, lo que llevó a Star Blizzard a adaptarse cambiando a un nuevo método de acceso a los objetivos. .
En octubre, el Departamento de Justicia de EE.UU. y Microsoft revelado que habían obtenido órdenes judiciales para confiscar sitios web utilizados por Star Blizzard en campañas de phishing dirigidas a agencias gubernamentales de EE. UU., grupos de expertos y otras víctimas.
Desde el 3 de octubre, se nos dice que el Departamento de Justicia y Redmond han incautado o eliminado más de 180 sitios web relacionados con esa actividad.
«Si bien esta acción coordinada tuvo un impacto a corto plazo en las operaciones de phishing de Star Blizzard, notamos en ese momento que después de que la infraestructura activa de este actor de amenazas quedó expuesta, rápidamente hizo una transición a nuevos dominios para continuar sus operaciones, lo que indica que el actor de amenazas es altamente resistente a las interrupciones operativas», dijo Microsoft hoy. ®
Actualizado para agregar a las 1650 UTC del 17 de enero de 2025
Microsoft, en respuesta a El RegistroLas preguntas de Star Blizzard confirmaron que esta campaña de phishing intentó alcanzar los objetivos típicos de Star Blizzard, pero se negó a decir cuántos mensajes grupales de WhatsApp falsos se enviaron.
«Los objetivos pertenecen principalmente a los sectores gubernamental y diplomático, incluidos funcionarios actuales y anteriores», dijo Sherrod DeGrippo, director de estrategia de inteligencia de amenazas.
«Además, los objetivos incluyen a personas involucradas en la política de defensa, investigadores en relaciones internacionales centrados en Rusia y aquellos que brindan asistencia a Ucrania en relación con la guerra con Rusia».
Este ataque en particular comenzó en enero de 2023 y continuó hasta noviembre de 2024. «Este actor de amenazas está actualmente activo e intenta otras campañas», agregó DeGrippo. «Estamos bloqueando esta actividad cuando la detectamos».
