Uważaj na kody QR na WhatsApp

Rosyjska grupa hakerów Star Blizzard zmienia sposób działania. Ich najnowsza kampania phishingowa stosuje kody QR, które przesyłają za pomocą aplikacji WhatsApp. Jest to atak typu spear phishing.

Grupą docelową tej formy przestępstwa są urzędnicy państwowi. Maile lub wiadomości na WhatsApp pochodzą od “amerykańskich urzędników”, którzy rzekomo wspierają ukraińskie organizacje pozarządowe. Przestępcy podszywają się pod szanowanych ekspertów, a ich rozbudowane wiadomości cechowały się wysokim poziomem wiarygodności.

https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts/

Sposób działania grupy hakerskiej polega na przesłaniu kodu QR, który specjalnie nie przekierowuje do żadnej domeny. Ma to na celu zainteresowanie pokrzywdzonego i spowodowanie przesłania informacji zwrotnej do grupy przestępczej o tym, że kod nie działa. Cele ataku często dają się wciągnąć w grę przestępców. Gdy odbiorca skontaktuje się z osobą od której otrzymała kod, przestępcy Star Blizzard wysyłają kolejną wiadomość, która przekierowuje go do grupy na WhatsApp. Po dołączeniu do grupy uzyskuje nowy działający kod QR, jeżeli ofiara go zeskanuje to przestępcy uzyskują dostęp do konta ofiary, dzięki czemu mogą wykradać dane.

Rosyjska grupa hakerska Star Blizzard działa od 2017 roku, wielokrotnie dokonywała ataków na zachodnie ośrodki analityczne, dziennikarzy, byłych żołnierzy czy funkcjonariuszy wywiadu.

Działania grupy cyberprzestępczej w niedalekiej przyszłości mogą zostać zmodyfikowane. Bardzo możliwe, że hakerzy w pewnym momencie przestaną wykorzystywać do przeprowadzenia tego typu przestępstw drogę mailową. Może powstać bardziej bezpośrednie podejście, polegające na wysyłaniu wiadomości od razu za pośrednictwem aplikacji WhatsApp.

W dużej mierze celami ataków Star Blizzard były osoby z Wielkiej Brytanii i USA.

Do tej pory głównym zadaniem hakerów było pozyskiwanie i nawiązywanie relacji. Dopiero po zbudowaniu zaufania wśród ofiar wysyłano linki do interesujących dokumentów, o których wcześniej informowali w prowadzonej kampanii hakerskiej. Linki prowadziły na serwery kontrolowane przez cyberprzestępców, dzięki czemu przestępcy uzyskiwali dane uwierzytelniające ofiar.

Zobacz:  Przekręt nigeryjski

Microsoft informuje, że we współpracy z Departamentem Sprawiedliwości USA od października 2024 r. przejęli lub zamknęli ponad 180 witryn internetowych związanych z działalnością grupy Star Blizzard. Niestety zaraz po zamknięciu kolejnej strony przestępcy przechodzili na nowe domeny, aby kontynuować swoją przestępczą działalność.

Kampania miała ograniczony zasięg i prawdopodobnie na tą chwilę jest zakończona, jednak wskazała kierunek działania jaki dalej może wykorzystywać grupa Star Blizzard. Ukierunkowane ataki aktora cyberprzestępczego na pewno będą kontynuowane w celu pozyskania dostępu do poufnych informacji. Sektorami, w które najczęściej uderza grupa są: rząd, dyplomacja i wojsko. Atakowani są też dziennikarze i osoby prowadzące badania związane z polityką obronną. Oznacza to, że wszystkie osoby należące do tych sektorów muszą stale zachowywać czujność podczas obsługi poczty e-mail oraz innych komunikatorów.

https://cybernews.com/

https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts

Oceń artykuł

Inne wpisy

Odwiedź nasze media społecznościowe

18,388FaniLubię
243ObserwującyObserwuj
432SubskrybującySubskrybuj

Ostatnie artykuły

× Chat