Il team di Microsoft Threat Intelligence ha registrato un cambiamento importante nelle tecniche utilizzate dal gruppo russo noto come Star Blizzard. Quest’ultimo infatti ha avviato una campagna di spear-phishing mirata a compromettere gli account WhatsApp delle potenziali vittime, strategia che in parte si allontana dalle sue tradizionali procedure di attacco.
Attacco spear-phishing contro gli account WhatsApp
La campagna malevola inizia con l’invio di un’email che invita il destinatario a unirsi a un gruppo WhatsApp. Esso viene descritto come dedicato a “iniziative non governative a sostegno delle ONG ucraine”. L’email contiene un codice QR volutamente non funzionante e progettato per indurre il destinatario a formulare una richiesta di assistenza.
In risposta Star Blizzard invia un secondo messaggio contenente un link abbreviato che reindirizza a una pagina web con un altro codice QR. Questo codice viene poi utilizzato per collegare l’account WhatsApp della vittima ad un dispositivo controllato dagli attaccanti, consentendo loro di accedere ai messaggi e di esfiltrare dati sensibili.
Star Blizzard ha sempre preso di mira persone e organizzazioni legate a governi, diplomazia, difesa e relazioni internazionali, in particolare quelle connesse alla Russia, nonché enti di supporto all’Ucraina nel contesto del conflitto in corso. Questa nuova campagna non fa eccezione, concentrandosi su settori da cui è possibile attingere a fonti di informazioni sensibili.
Le raccomandazioni di Microsoft per la sicurezza
Per proteggersi da tali minacce, Microsoft consiglia di implementare Microsoft Defender per Endpoint su dispositivi Android e iOS. L’anti-malware include infatti anche funzionalità anti-phishing applicabili agli attacchi tramite codici QR. E’ poi necessario abilitare la protezione di rete in Microsoft Defender per Endpoint e assicurarsi che l’anti-manomissione sia attiva.
È inoltre fondamentale che gli utenti siano vigili nell’interazione con email contenenti link o codici QR, specialmente se provenienti da mittenti non verificati. In caso di dubbio è consigliabile contattare direttamente il mittente utilizzando un indirizzo email noto per confermare l’autenticità del messaggio.