La star de l’acteur d’État-nation russe Blizzard a lancé une nouvelle campagne de spear-phishing pour compromettre les comptes WhatsApp de cibles au sein du gouvernement, de la diplomatie, de la politique de défense, des relations internationales et des organisations humanitaires ukrainiennes.
Selon un rapport de renseignements sur les menaces de Microsoft, la campagne a été observée à la mi-novembre 2024 et représente un changement tactique pour Star Blizzard en réponse à la récente exposition des tactiques, techniques et procédures de l’auteur de la menace.
Invitation WhatsApp malveillante
Star Blizzard lance l’attaque en se faisant passer pour un fonctionnaire du gouvernement américain dans des courriels envoyés à la cible. Le leurre est une invitation à rejoindre un groupe WhatsApp lié aux initiatives non gouvernementales soutenant l’Ukraine.
L’e-mail contient un code QR délibérément cassé, dans le but de forcer une réponse du destinataire demandant un lien alternatif.
Si la victime répond, Star Blizzard envoie un autre e-mail avec un ‘t.ly ‘ lien court, qui les dirige vers une fausse page Web qui imite une page d’invitation WhatsApp légitime avec un nouveau code QR.
Cependant, le nouveau code QR permet de lier un nouvel appareil, celui de l’attaquant, au compte WhatsApp de la victime.
” Si la cible suit les instructions sur cette page, l’auteur de la menace peut accéder aux messages de son compte WhatsApp et avoir la possibilité d’exfiltrer ces données à l’aide des plugins de navigateur existants, conçus pour exporter des messages WhatsApp à partir d’un compte accessible via WhatsApp Web », explique Microsoft.
Comme l’attaque repose uniquement sur l’ingénierie sociale et qu’aucun logiciel malveillant n’est impliqué pour que les outils antivirus le détectent, les utilisateurs doivent se méfier des communications non sollicitées et faire preuve d’une prudence accrue lorsqu’ils reçoivent des invitations à rejoindre des groupes.
C’est également une bonne idée de vérifier les appareils liés à votre compte WhatsApp. Cela est possible à partir des options » Appareils liés » de l’application sur l’appareil mobile (iPhone ou Android) et déconnectez tout appareil que vous ne reconnaissez pas.
Cette campagne de phishing montre que la perturbation de l’activité de Star Blizzard en octobre 2024, lorsque Microsoft et le département américain de la Justice ont saisi ou supprimé plus de 180 domaines utilisés par le groupe de menaces russe, n’a pas eu d’impact à long terme et les pirates ont poursuivi leurs opérations en explorant d’autres vecteurs d’attaque.