2 min Security

Star Blizzard-hackers misbruiken WhatsApp tegen diplomaten

Star Blizzard-hackers misbruiken WhatsApp tegen diplomaten

De Russische staatshacker Star Blizzard voert een nieuwe spear-phishingcampagne uit. Het doel is WhatsApp-accounts te compromitteren van doelwitten in de overheid, diplomatie, defensiebeleid, internationale betrekkingen en organisaties die hulp bieden aan Oekraïne.

Dit schrijft BleepingComputer. Volgens een rapport van Microsoft Threat Intelligence werd de campagne waargenomen halverwege november 2024. Het markeert een tactische verschuiving voor Star Blizzard. Dit was een reactie op de recente onthulling van de tactieken, technieken en procedures van deze dreigingsactor.

Kwaadaardige WhatsApp-uitnodiging

Star Blizzard start de aanval door zich in e-mails aan het doelwit voor te doen als een Amerikaanse overheidsfunctionaris. De e-mail bevat een uitnodiging om lid te worden van een WhatsApp-groep, gerelateerd aan niet-gouvernementele initiatieven ter ondersteuning van Oekraïne.

Als het slachtoffer reageert via de QR-code, stuurt Star Blizzard een tweede e-mail met een ‘t.ly’-korte link. Deze link leidt naar een nepwebpagina die lijkt op een legitieme WhatsApp-uitnodigingspagina en een nieuwe QR-code toont.

De tweede QR-code dient om een nieuw apparaat, namelijk dat van de aanvaller, te koppelen aan het WhatsApp-account van het slachtoffer. Als het doelwit de instructies op deze pagina volgt, kan de dreigingsactor toegang krijgen tot de berichten in hun WhatsApp-account en deze gegevens exporteren via bestaande browserplug-ins. Legt Microsoft uit.

Onverwachte communicatie

Omdat de aanval volledig afhankelijk is van social engineering en er geen malware wordt gebruikt die antivirusprogramma’s kan detecteren, wordt gebruikers geadviseerd op hun hoede te zijn voor onverwachte communicatie en extra voorzichtig te zijn bij uitnodigingen om lid te worden van groepen.

Het is ook verstandig om de gekoppelde apparaten in een WhatsApp-account te controleren. Dit kan via de optie Gekoppelde apparaten in de app op een mobiel apparaat (iPhone of Android). Het advies is uit te loggen van apparaten die niet herkend worden.

Voortdurende dreiging ondanks eerdere verstoringen

Deze phishingcampagne toont aan dat de verstoring van de activiteiten van Star Blizzard in oktober 2024, toen Microsoft en het Amerikaanse ministerie van Justitie meer dan 180 domeinen in beslag namen of uitschakelden die door de Russische dreigingsgroep werden gebruikt, geen langdurige impact had. De hackers hebben hun activiteiten voortgezet door andere aanvalsvectoren te verkennen.