A Microsoft Threat Intelligence tájékoztatása alapján ez a kampány 2024. november közepén indult és a keretében alkalmazott módszereket, technikákat és eljárásokat nemrégiben hozták nyilvánosságra.
Rosszindulatú meghívások WhatsApp csoportokba
A Star Blizzard támadási folyamatának első lépése, hogy a célpontjának küldött e-mailben a támadó egy amerikai kormánytisztviselőnek adja ki magát. A levél meghívót tartalmaz egy Ukrajnát támogató nem kormányzati kezdeményezésekkel kapcsolatos WhatsApp csoportba.
Az e-mailben szándékosan egy törött QR-kód szerepel, hogy ezáltal a címzett egy alternatív hivatkozást kérjen, amivel majd csatlakozni tud (ezzel próbálják meg kikényszeríteni a címzettől a választ az emailre). Ha az áldozat válaszol a levélre akkor a Star Blizzard egy újabb e-mailt küld egy “t.ly” rövid linkkel, amely egy WhatsApp meghívó oldalt imitáló hamis weboldalra irányítja át. Ezen egy új QR kód szerepel. Az az új QR-kód azonban egy új eszközt (a támadóét) kapcsol össze az áldozat WhatsApp fiókjával.
A Microsoft szerint, ha az áldozat követi az oldalon található utasításokat, a támadó hozzáférhet a WhatsApp fiókjában lévő üzenetekhez. Képes kinyerni belőlük az adatokat a meglévő böngészőbővítmények segítségével, amelyeket arra terveztek, hogy a WhatsApp-on keresztül elért fiókokból WhatsApp üzeneteket exportáljanak.
Mivel a támadás alapja a pszichológiai manipuláció és a víruskeresők nem azonosítanak rosszindulatú programokat, a felhasználóknak óvakodniuk kell a kéretlen levelektől. Továbbá fokozott óvatossággal kell eljárniuk, amikor meghívást kapnak különböző csoportokhoz való csatlakozásra.
Érdemes ellenőrizni a szóban forgó fiókhoz kapcsolt eszközöket is. Ez a mobil készüléken (iPhone vagy Android) található alkalmazás “Linked devices ( magyarul: Kapcsolt eszközök)” opciójából lehetséges, ahol ki tud jelentkezni minden olyan eszközből, amelyet nem ismer fel.
(Forrás: NKI | Kép: pixabay.com)
