Star Blizzard explora códigos QR do WhatsApp para roubo de credenciais

O grupo de cibercriminosos russo conhecido como Star Blizzard lançou uma nova campanha de spear-phishing direcionada a contas do WhatsApp, indicando uma mudança em suas táticas tradicionais, provavelmente para evitar detecção.

"Os alvos do Star Blizzard geralmente estão relacionados a governos ou diplomacia (tanto em posições atuais quanto anteriores), política de defesa ou pesquisadores de relações internacionais com foco na Rússia, além de fontes de apoio à Ucrânia relacionadas à guerra com a Rússia," afirmou a equipe de inteligência de ameaças da Microsoft em um relatório.

Anteriormente conhecido como SEABORGIUM, o Star Blizzard é um grupo de atividades maliciosas ligado à Rússia, especializado em campanhas de roubo de credenciais. Atuante desde pelo menos 2012, o grupo também é rastreado por outros nomes, como Blue Callisto, BlueCharlie, COLDRIVER, Dancing Salome e outros.

Tradicionalmente, as campanhas do Star Blizzard envolviam o envio de e-mails de spear-phishing com anexos contendo links maliciosos. Esses links redirecionavam as vítimas para páginas operadas com Evilginx, uma técnica que permite roubo de credenciais e códigos de autenticação de dois fatores (2FA) por meio de ataques adversários no meio (AiTM).

O grupo também utilizou plataformas de marketing por e-mail, como HubSpot e MailerLite, para disfarçar os remetentes e evitar a necessidade de infraestrutura de domínio controlada pelo hacker.

No final de 2024, o grupo começou a explorar contas do WhatsApp. A campanha, que parece ter sido limitada e encerrada em novembro de 2024, usava táticas de engenharia social envolvendo códigos QR.

O ataque inicia com um e-mail que simula ser de um funcionário do governo dos EUA, projetado para parecer legítimo e aumentar a chance de interação da vítima. A mensagem inclui um código QR, supostamente para ingressar em um grupo do WhatsApp dedicado a iniciativas de apoio a ONGs ucranianas.

No entanto, o código QR é deliberadamente configurado para falhar, induzindo o destinatário a responder ao e-mail. Como resposta, o Star Blizzard envia um novo link encurtado (via t[.]ly), direcionando a vítima para uma página que solicita o escaneamento de outro código QR para "entrar no grupo".

Esse código, na verdade, é usado pelo WhatsApp para conectar a conta a um dispositivo vinculado ou ao portal WhatsApp Web. Ao seguir as instruções, os criminosos conseguem acesso não autorizado às mensagens do WhatsApp da vítima e podem exfiltrar dados usando extensões de navegador.

Setores como governo, diplomacia, pesquisa de relações internacionais e assistência à Ucrânia estão entre os principais alvos do Star Blizzard. É crucial que esses indivíduos sejam cautelosos com e-mails contendo links para fontes externas ou códigos QR.

Essa nova campanha representa uma ruptura nas táticas tradicionais do grupo, destacando sua resiliência em continuar as campanhas de spear-phishing para acessar informações sensíveis, mesmo diante de operações degradadas.

Via - THN