У Microsoft викрили нову хвилю атак російської групи Star Blizzard із використанням WhatsApp

У середині листопада 2024 року розвідувальний відділ Microsoft виявив, що російське кіберзлочинне угруповання, відоме як Star Blizzard, розпочало нову хвилю фішингових атак, надсилаючи жертвам електронні листи із запрошенням до групи у WhatsApp. 

Про це повідомляється в блозі Microsoft.

У компанії зазначили, що це перша зафіксована фахівцями зміна тактики, технік і процедур (ТТП) угруповання, покликана скористатися з іншого вектора доступу.

Зазвичай цілями Star Blizzard є урядові або дипломатичні кола (посадовці й колишні посадовці), дослідники оборонної політики або міжнародних відносин, чия робота повʼязана з Росією, а також організації, які надають підтримку Україні в умовах війни, йдеться в повідомленні.

У своїй новій кампанії Star Blizzard використовувала знайомі методи фішингу: ініціювання контактів через електронну пошту з подальшим надсиланням шкідливих посилань. Група імітувала електронні адреси представників уряду США, що є їхньою традиційною практикою. Ці листи містили QR-код для приєднання до WhatsApp-групи, нібито пов’язаної з підтримкою українських ГО. Насправді ж QR-код був навмисно зламаний і не вів на жоден чинний домен: метою було спонукати отримувача відповісти на лист, після чого Star Blizzard надсилала нове повідомлення зі шкідливим посиланням.

Перейшовши за цим посиланням, жертва потрапляла на сторінку, яка вимагала сканувати QR-код, щоб приєднатися до групи. Насправді цей код використовувався для прив’язування облікового запису WhatsApp до іншого пристрою. У такий спосіб зловмисники отримували доступ до повідомлень жертви й змогу витягти її дані за допомогою браузерних плагінів.

Як повідомляв ІМІ, північнокорейські хакери вкрали понад $3 мільярди в криптовалюті з 2017 року, з яких від $630 млн до $1 млрд було викрадено протягом 2023 року. Ці вкрадені кошти фінансують понад половину ядерних і ракетних програм Північної Кореї.

Марія Ігнатьєва, Валентина Троян