El actor del estado-nación ruso Star Blizzard ha estado ejecutando una nueva campaña de phishing para comprometer las cuentas de WhatsApp de objetivos en el gobierno, la diplomacia, la política de defensa, las relaciones internacionales y las organizaciones de ayuda a Ucrania.
Según un informe de Microsoft Threat Intelligence, la campaña se observó a mediados de noviembre de 2024 y representa un cambio táctico para Star Blizzard como respuesta a la reciente exposición de las tácticas, técnicas y procedimientos del actor de amenazas.
Star Blizzard comienza el ataque haciéndose pasar por un funcionario del gobierno de EE. UU. en mensajes de correo electrónico al objetivo. El señuelo es una invitación para unirse a un grupo de WhatsApp relacionado con iniciativas no gubernamentales que apoyan a Ucrania.
El correo electrónico contiene un código QR roto a propósito, en un intento de forzar una respuesta del destinatario solicitando un enlace alternativo.
Si la víctima responde, Star Blizzard envía otro correo electrónico con un enlace corto «t.ly», que los dirige a una página web falsa que imita una página de invitación legítima de WhatsApp con un nuevo código QR.
Sin embargo, el nuevo código QR es para vincular un nuevo dispositivo, el del atacante, a la cuenta de WhatsApp de la víctima.
«Si el objetivo sigue las instrucciones de esta página, el actor de la amenaza puede obtener acceso a los mensajes en su cuenta de WhatsApp y tener la capacidad de exfiltrar estos datos utilizando complementos de navegador existentes, que están diseñados para exportar mensajes de WhatsApp desde una cuenta a la que se accede a través de WhatsApp Web», explica Microsoft.
Como el ataque se basa únicamente en ingeniería social y no hay malware involucrado que las herramientas antivirus puedan detectar, los usuarios deben tener cuidado con las comunicaciones no solicitadas y tener especial cuidado al recibir invitaciones para unirse a grupos.
También es una buena idea verificar los dispositivos vinculados a su cuenta de WhatsApp. Esto es posible desde las opciones de «Dispositivos vinculados» en la aplicación en el dispositivo móvil (iPhone o Android) y cerrar la sesión de cualquier dispositivo que no reconozca.
Esta campaña de phishing demuestra que la interrupción de la actividad de Star Blizzard en octubre de 2024, cuando Microsoft y el Departamento de Justicia de EE. UU. incautaron o eliminaron más de 180 dominios utilizados por el grupo de amenazas ruso, no tuvo un impacto a largo plazo y los piratas informáticos continuaron sus operaciones explorando otros vectores de ataque.