Star Blizzard, un acteur menaçant lié au Service fédéral de sécurité russe (FSB), a été repéré en train de tenter de compromettre les comptes WhatsApp de ses cibles grâce à une campagne de phishing intelligente.
La campagne
La campagne a commencé avec un e-mail de spear phishing qui semblait avoir été envoyé par un représentant du gouvernement américain.
« Nous avons créé un groupe WhatsApp privé pour faciliter les discussions concernant les dernières initiatives non gouvernementales visant à soutenir l’Ukraine. Cette plateforme servira également de moyen pour coordonner la distribution des fonds alloués par le gouvernement à cet effet », indique le courrier électronique. “Vous pouvez nous rejoindre en utilisant ce code QR ci-dessous.”
Le code QR ne fonctionne cependant pas, poussant la victime à répondre pour en dire autant. Ensuite, les attaquants envoient un deuxième email, avec un lien raccourci au lieu d’un code QR.
Le lien mène à une fausse page Web WhatsApp leur demandant de suivre plusieurs étapes pour rejoindre le groupe.
La page WhatsApp usurpée, avec le code QR masqué (Source : Microsoft Threat Intelligence)
“Cependant, ce code QR est en réalité utilisé par WhatsApp pour connecter un compte à un appareil lié et/ou au portail Web WhatsApp”, ont expliqué les analystes des menaces de Microsoft.
“Cela signifie que si la cible suit les instructions de cette page, l’acteur malveillant peut accéder aux messages de son compte WhatsApp et avoir la possibilité d’exfiltrer ces données à l’aide de plugins de navigateur existants, conçus pour exporter les messages WhatsApp à partir d’un compte. accessible via WhatsApp Web.
À propos de Star Blizzard
La campagne semble avoir été destinée aux employés des organisations non gouvernementales (ONG) et, selon Microsoft, elle a débuté à la mi-novembre et s’est terminée à la fin du mois.
Néanmoins, il montre comment Star Blizzard change ses tactiques, techniques et procédures (TTP) et persiste à atteindre ses objectifs.
“Les cibles de Star Blizzard sont le plus souvent liées au gouvernement ou à la diplomatie (titulaires actuels et anciens), aux chercheurs en politique de défense ou en relations internationales dont les travaux touchent à la Russie et aux sources d’assistance à l’Ukraine liées à la guerre avec la Russie”, affirment les analystes de la menace. noté.
Ils sont également connus pour cibler les citoyens russes résidant aux États-Unis, les citoyens britanniques et les réseaux informatiques appartenant à l’OTAN.
Fin 2024, Microsoft et le ministère américain de la Justice ont saisi plus de 100 domaines utilisés par le groupe et ont ouvert la voie à une perturbation supplémentaire de toute nouvelle infrastructure par le biais d’une procédure judiciaire existante.