Російські хакери Star Blizzard змінили тактику: провели фішингову кампанію у вотсапі

Російські хакери Star Blizzard змінили тактику: провели фішингову кампанію у вотсапі

10:15,
17 Січня 2025
1107

Російські хакери Star Blizzard змінили тактику: провели фішингову кампанію у вотсапі

10:15,
17 Січня 2025
1107
Російські хакери Star Blizzard змінили тактику: провели фішингову кампанію у вотсапі
Російські хакери Star Blizzard змінили тактику: провели фішингову кампанію у вотсапі
Хакери, зокрема, націлюються на організації, що працюють на допомогу Україні у повномасштабній війні з Росією.

Російські хакери Star Blizzar, які націлюються на урядовців, дипломатів, дослідників безпекової політики, міжнародних відносин, чия робота стосується Росії, а також джерел допомоги Україні у війні проти вторгнення Росії, вперше запустили в листопаді фішингову кампанію через платформу WhatsApp. Підрозділ Microsoft з вивчення загроз назвав використання нового вектору доступу першим випадком, що фіксує зміну давньої тактики, методів і процедур хакерської групи. Про це Microsoft повідомила у блозі.

Дослідники нагадали, що у період із січня 2023 року по серпень 2024 року Star Blizzard націлювали фішингові кампанії на десятки представників громадянського суспільства — журналістів, аналітичних центрів і неурядових організацій, переслідуючи викрадення конфіденційної інформації та втручання в їхню діяльність. Із 3 жовтня 2024 року Microsoft і Міністерство юстиції США вилучили або закрили понад 180 вебсайтів, пов’язаних із цією діяльністю. Повідомлено однак, що Star Blizzard швидко перейшли на нові домени, щоб продовжити свою діяльність, що свідчить про їхню високу стійкість до збоїв у роботі.

«Ми оцінюємо перехід до компрометації облікових записів WhatsApp, імовірно, у відповідь на розкриття тактик, методів і процедур командою Microsoft Threat Intelligence та іншими організаціями, включаючи національні агентства з кібербезпеки. Хоча ця кампанія, схоже, завершилася наприкінці листопада, ми висвітлюємо нову зміну як ознаку того, що зловмисник може прагнути змінити свої практики, щоб уникнути виявлення», — зазначено у повідомленні.

Представники Microsoft розкрили механіку фішингу, яку використовують Star Blizzard: спершу ініціюють електронний зв’язок з тими, на кого націлилися, щоб залучити їхню увагу, перш ніж надіслати друге повідомлення, котре містить шкідливе посилання.

Адреса відправника, використана в цій кампанії, нібито належить посадовцю уряду США, що свідчить про продовження практики Star Blizzard з видавання за відомих політичних та дипломатичних діячів для подальшого забезпечення цільової взаємодії.

Початковий електронний лист, надісланий адресатам, містить QR-код, який нібито спрямовує користувачів приєднатися до групи у вотсапі з інформацією про «останні неурядові ініціатива, спрямовані на підтримку українських громадських організацій». Цей код, однак, навмисно зламаний і не спрямовує користувача до жодного дійсного домену, натомість є намаганням спонукати цільового одержувача відповісти.

Коли одержувач відповідає, Star Blizzard надсилає другий електронний лист зі скороченим посиланням, як альтернативу для приєднання до групи у вотсапі.

Зловмисна спроба фішингу Star Blizzard з використанням QR-коду у вотсапі

Після переходу за цим посиланням відбувається перенаправлення на вебсторінку з проханням відсканувати QR-код, щоб приєднатися до групи. Однак цей QR-код насправді використовується вотсапом для підключення облікового запису до пов’язаного пристрою та/або вебпорталу WhatsApp. Це означає, що якщо цільовий користувач дотримується вказівок на цій сторінці, зловмисник може отримати доступ до повідомлень у його вотсап-акаунті і мати можливість викрадати ці дані за допомогою існуючих плагінів браузера, які призначені для експорту повідомлень з облікового запису у вебверсії WhatsApp.

Фото: WhatsApp / Getty Images

Читайте також
ГО «Детектор медіа» понад 20 років бореться за кращу українську журналістику. Ми стежимо за дотриманням стандартів у медіа. Захищаємо права аудиторії на якісну інформацію. І допомагаємо читачам відрізняти правду від брехні.
До 22-річчя з дня народження видання ми відновлюємо нашу Спільноту! Це коло активних людей, які хочуть та можуть фінансово підтримати наше видання, долучитися до генерування ідей та створення якісних матеріалів, просувати свідоме медіаспоживання і разом протистояти російській дезінформації.
* Знайшовши помилку, виділіть її та натисніть Ctrl+Enter.
Коментарі
оновити
Код:
Ім'я:
Текст:
2019 — 2025 Dev.
Andrey U. Chulkov
Develop
Використовуючи наш сайт ви даєте нам згоду на використання файлів cookie на вашому пристрої.
Даю згоду