Hackers Exploram o WhatsApp em Nova Campanha de Phishing

Um grupo de hackers russo, Star Blizzard, tem como alvo contas do WhatsApp para comprometê-las, relatou a Microsoft Threat Intelligence em 16 de janeiro. Isso marca uma mudança nas táticas do grupo, com a Microsoft observando essa como a primeira instância do Star Blizzard adotando um novo vetor de acesso, divergindo de seus métodos estabelecidos.

Em novembro de 2024, a Microsoft Threat Intelligence detectou uma mudança significativa nas táticas do “Star Blizzard”, um grupo de hackers russo conhecido por mirar em funcionários do governo, diplomatas e ONGs.

O grupo introduziu um novo método de phishing, utilizando o WhatsApp como ponto de acesso, marcando uma mudança em relação às suas estratégias tradicionais. O ataque começou com um e-mail de spear-phishing se passando por um oficial do governo dos EUA.

Ele convidava os alvos a se juntarem a um grupo do WhatsApp supostamente focado em apoiar as ONGs ucranianas. O email incluía um código QR, que supostamente conectaria os usuários ao grupo, mas que foi deliberadamente programado para falhar e, assim, induzir os destinatários a responderem.

Assim que os alvos responderam, eles receberam outro e-mail com uma URL encurtada que levava a uma página da web fraudulenta semelhante ao site legítimo do WhatsApp.

Aqui, as vítimas foram solicitadas a escanear um código QR para se juntar ao grupo. Em vez disso, este código concedeu aos hackers acesso às contas do WhatsApp das vítimas, explorando o sistema de vinculação de contas da plataforma. Usando plugins de navegador, o Star Blizzard poderia exfiltrar mensagens sensíveis.

Star Blizzard, anteriormente conhecida por mirar jornalistas e organizações da sociedade civil, adaptou-se às interrupções operacionais. Desde 2023, o grupo tem empregado campanhas de spear-phishing para roubar informações e interromper atividades, conforme observado no relatório da Microsoft.

A Microsoft e o Departamento de Justiça dos EUA derrubaram mais de 180 domínios de phishing ligados ao grupo em outubro de 2024. Apesar desses esforços, os hackers rapidamente transitaram para novos domínios e métodos.

Esta recente campanha, que terminou no final de novembro, destaca a persistência e a adaptabilidade do grupo. Também evidencia os desafios em constante evolução que as organizações enfrentam em termos de cibersegurança.

Para mitigar tais riscos, a Microsoft aconselha o uso de ferramentas como o Defender para Endpoint, a ativação de medidas anti-phishing, proteção contra adulteração e atualizações de antivírus em tempo real entregues pela nuvem. As organizações também devem treinar seus funcionários para reconhecer tentativas de phishing, em particular aquelas que envolvem links ou códigos QR.

Para maior segurança, especialistas recomendam verificar e-mails suspeitos entrando em contato com o remetente através de canais confiáveis e utilizando práticas seguras de navegação.

Este incidente reforça a importância de medidas proativas de cibersegurança à medida que atores de ameaças desenvolvem novas maneiras de violar defesas, transformando até mesmo ferramentas comumente usadas como o WhatsApp em possíveis vetores de ataque.