В ноябре 2024 года, специалисты Microsoft Threat Intelligence заметили, что российский хакер Star Blizzard начал использовать новый вектор доступа, отправляя фишинговые сообщения через WhatsApp. Star Blizzard, чьи цели обычно связаны с правительством, дипломатией и исследователями оборонной политики, ранее проводил фишинговые атаки по электронной почте. Однако после раскрытия его операций и блокировки десятков связанных с ним веб-сайтов, хакер перешел на использование WhatsApp.
Star Blizzard APT
Star Blizzard отправлял электронные письма с предложением присоединиться к группе WhatsApp, посвященной поддержке неправительственных организаций Украины. В первом письме использовался поврежденный QR-код, а во втором письме содержалась безопасная ссылка для вступления в группу. При переходе по ссылке пользователя перенаправляли на веб-страницу, где было предложено отсканировать QR-код для подключения учетной записи к WhatsApp. Однако это была ловушка: злоумышленник мог получить доступ к сообщениям пользователя и экспортировать их при помощи плагинов для браузера.
Хотя кампания Star Blizzard с использованием WhatsApp была ограниченной и, возможно, уже завершилась, она еще раз подчеркнула упорство злоумышленников и их способность адаптироваться к блокировкам и препятствиям. Microsoft Threat Intelligence рекомендует пользователям быть внимательными при получении подозрительных сообщений и следовать рекомендациям по обеспечению безопасности электронной почты.
Однако важно отметить, что подобные фишинговые атаки могут быть не только отправлены через WhatsApp, но и через другие платформы. Поэтому важно обновлять программное обеспечение, использовать сильные пароли и быть осторожными при открытии подозрительных ссылок или приложений. Проактивный мониторинг и обучение сотрудников также помогут предотвратить подобные атаки.
Indicators of Compromise
Domains
- aerofluidthermo.org
- civilstructgeo.org