Star Blizzard lança campanha de spear-phishing para comprometer contas do WhatsApp

A Microsoft alertou para uma nova campanha do grupo de ciberespionagem Star Blizzard, que visa comprometer contas do WhatsApp de indivíduos ligados ao governo, diplomacia, política de defesa e organizações de apoio à Ucrânia.

A operação, detetada em novembro de 2024, representa uma mudança tática do grupo em resposta à exposição recente das suas técnicas e procedimentos. O ataque inicia-se com e-mails falsificados, nos quais os atacantes se fazem passar por funcionários do governo dos EUA e convidam as vítimas a juntarem-se a um grupo do WhatsApp associado a iniciativas humanitárias. O e-mail incluir um código QR corrompido, o que leva as vítimas a pedir um novo link. Ao responder, recebe um URL encurtado 't.ly', que as direciona para uma página falsa do WhatsApp que contém um código QR que permite aos atacantes vincular um novo dispositivo à conta da vítima.

Ao seguir as instruções da página fraudulenta, a vítima concede acesso às suas mensagens, que podem ser exfiltradas através de extensões de navegador destinadas à exportação de conversas do WhatsApp Web. Como este ataque depende exclusivamente de engenharia social, sem recorrer a malware, os sistemas de segurança tradicionais não são capazes de o detetar. A Microsoft recomenda dos utilizadores a verificarem regularmente os dispositivos vinculados às suas contas e desconectar acessos suspeitos.

A campanha demonstra que a ação conjunta da Microsoft e do Departamento de Justiça dos EUA em outubro de 2024, que desativou mais de 180 domínios utilizados pelo Star Blizzard, não teve um impacto duradouro.