Rus ulus devlet aktörü Star Blizzard, hükümet, diplomasi, savunma politikası, uluslararası ilişkiler ve Ukrayna yardım kuruluşlarındaki hedeflerin WhatsApp hesaplarını ele geçirmek için yeni bir hedef odaklı kimlik avı kampanyası yürütüyor.
Microsoft Tehdit İstihbaratı raporuna göre, kampanya Kasım 2024’ün ortasında gözlemlendi ve tehdit aktörünün taktiklerinin, tekniklerinin ve prosedürlerinin yakın zamanda açığa çıkmasına yanıt olarak Star Blizzard için taktiksel bir değişimi temsil ediyor.
Kötü amaçlı WhatsApp daveti
Star Blizzard, hedefe gönderdiği e-posta mesajlarında ABD hükümet yetkilisinin kimliğine bürünerek saldırıyı başlatıyor. Cazibesi, Ukrayna’yı destekleyen hükümet dışı girişimlerle ilgili bir WhatsApp grubuna katılma davetidir.
Kaynak: Microsoft
E-posta, alıcının alternatif bir bağlantı talep ederek yanıt vermesini sağlamak amacıyla kasıtlı olarak kırılmış bir QR kodu içeriyor.
Kurban yanıt verirse Star Blizzard, onları yeni bir QR koduyla meşru bir WhatsApp davet sayfasını taklit eden sahte bir web sayfasına yönlendiren ‘t.ly’ kısa bağlantısını içeren başka bir e-posta gönderir.
.jpg)
Kaynak: Microsoft
Ancak yeni QR kodu, saldırganın cihazını kurbanın WhatsApp hesabına bağlamayı amaçlıyor.
“Hedef bu sayfadaki talimatları takip ederse, tehdit aktörü WhatsApp hesabındaki mesajlara erişebilir ve WhatsApp mesajlarını WhatsApp aracılığıyla erişilen bir hesaptan dışa aktarmak için tasarlanmış mevcut tarayıcı eklentilerini kullanarak bu verileri sızdırma yeteneğine sahip olabilir. Web,” diye açıklıyor Microsoft.
Saldırı yalnızca sosyal mühendisliğe dayandığından ve antivirüs araçlarının algılayabileceği herhangi bir kötü amaçlı yazılım içermediğinden, kullanıcıların istenmeyen iletişimlere karşı dikkatli olması ve gruplara katılma davetleri alırken daha dikkatli olması gerekir.
WhatsApp hesabınıza bağlı cihazları kontrol etmek de iyi bir fikirdir. Bu, mobil cihazdaki (iPhone veya Android) uygulamadaki “Bağlantılı cihazlar” seçeneklerinden yapılabilir ve tanımadığınız herhangi bir cihazdan çıkış yapılabilir.
Bu kimlik avı kampanyası, Microsoft ve ABD Adalet Bakanlığı’nın Rus tehdit grubu tarafından kullanılan 180’den fazla alan adını ele geçirdiği veya kaldırdığı Ekim 2024’te Star Blizzard’ın faaliyet kesintisinin uzun vadeli bir etkisi olmadığını ve bilgisayar korsanlarının operasyonlarına devam ettiğini gösteriyor. diğer saldırı vektörlerini keşfederek.