Изследователи на Microsoft са разкрили, че руски разузнавателни агенции използват тактиката spear-phishing, за да атакуват жертви с QR кодове и групови чатове в WhatsApp.

Екипът за разузнаване на заплахи в Редмънд документира откритието в четвъртък с предупреждение, че руската APT – проследена като Star Blizzard – е променила дългогодишните си spear-phishing тактики, за да се фокусира върху групите в WhatsApp.

Според Microsoft свързаните с Кремъл кибершпиони достигат до типични цели – правителствени или дипломатически фигури, изследователи в областта на отбранителната политика и организации, предлагащи помощ на Украйна – чрез имейли, които съдържат умишлено разбити QR кодове.

„Когато получателят отговори, Star Blizzard изпраща второ електронно писмо, съдържащо Safe Link wrapped t[.]ly shortened link (опакована безопасна връзка) като алтернативна връзка за присъединяване към групата в WhatsApp“, предупреждава Microsoft.

„Когато тази връзка бъде последвана, целта се пренасочва към уебстраница, в която се иска да се сканира QR код, за да се присъедини към групата“, обясняват изследователите, като отбелязват, че QR кодът всъщност се използва от WhatsApp за свързване на акаунт към свързано устройство и/или уеб портала на WhatsApp.

„Това означава, че ако целта следва инструкциите на тази страница,  заплахата може да получи достъп до съобщенията в акаунта му в WhatsApp и има възможност да екфилтрира тези данни, като използва съществуващите плъгини за браузъри, които са предназначени за експортиране на съобщенията в WhatsApp от акаунт, достъпен чрез WhatsApp Web.“

Star Blizzard, проследявана и като Callisto Group, е известен колектив, за когото е известно, че се насочва към военнослужещи, държавни служители, мозъчни тръстове и журналисти в Европа и Южен Кавказ. Техният основен интерес изглежда е събирането на разузнавателна информация, свързана с външната политика и политиката на сигурност в регионите на Източна Европа и Южен Кавказ.

Microsoft отбелязва, че Star Blizzard се е доказала като устойчива на сваляния и прекъсвания. Миналата година Министерството на правосъдието на САЩ конфискува или свали повече от 180 уебсайта, свързани с групата, но това изглежда има само краткосрочно въздействие върху spear-phishing операциите на Star Blizzard.

„Оценяваме, че преминаването на  заплахата към компрометиране на акаунти в WhatsApp вероятно е в отговор на разкриването на техните TTPs от Microsoft Threat Intelligence и други организации, включително национални агенции за киберсигурност“, заявиха от Microsoft.

Компанията заяви, че директно уведомява клиентите, които са били обект на посегателство или компрометирани, като им предоставя необходимата информация, за да им помогне да защитят своите среди.

Microsoft препоръчва на целевите групи да останат бдителни по отношение на неочаквани имейли, съдържащи QR кодове или външни връзки. Компанията препоръчва също така да се приложат мерки за сигурност, като например да се активира Microsoft Defender за крайни точки на мобилни устройства, да се включат безопасните връзки за Office 365 и да се проверяват подозрителните съобщения чрез познати контакти, преди да се отговори.