Hacker Sfruttano WhatsApp in Nuova Campagna di Phishing

Un gruppo di hacker russi, Star Blizzard, ha preso di mira gli account WhatsApp per comprometterli, ha riportato il Microsoft Threat Intelligence il 16 gennaio. Questo segna un cambiamento nelle tattiche del gruppo, con Microsoft che lo nota come la prima istanza di Star Blizzard che adotta un nuovo vettore di accesso, divergendo dai loro metodi stabiliti.

Nel novembre 2024, Microsoft Threat Intelligence ha rilevato un cambiamento significativo nelle tattiche di “Star Blizzard”, un gruppo di hacker russi noto per prendere di mira funzionari governativi, diplomatici e ONG.

Il gruppo ha introdotto un nuovo metodo di phishing, utilizzando WhatsApp come punto di accesso, segnando una partenza dalle loro strategie tradizionali. L’attacco è iniziato con un’email di spear-phishing che impersonava un funzionario del governo degli Stati Uniti.

Invitava i destinatari a unirsi a un gruppo WhatsApp presumibilmente focalizzato sul sostegno alle ONG ucraine. L’email includeva un codice QR, dichiarato per collegare gli utenti al gruppo, ma deliberatamente malfunzionante per sollecitare i destinatari a rispondere.

Una volta che i bersagli avevano risposto, ricevevano un’altra email con un URL abbreviato che conduceva a una pagina web fraudolenta che somigliava al sito legittimo di WhatsApp.

Qui, alle vittime veniva chiesto di scansionare un codice QR per unirsi al gruppo. Invece, questo codice concedeva agli hacker l’accesso agli account WhatsApp delle vittime sfruttando il sistema di collegamento dell’account della piattaforma. Utilizzando i plugin del browser, Star Blizzard poteva esfiltrare messaggi sensibili.

Star Blizzard, precedentemente noto per aver preso di mira giornalisti e organizzazioni della società civile, si è adattato alle interruzioni operative. Dal 2023, il gruppo ha utilizzato campagne di spear-phishing per rubare informazioni e interrompere le attività, come segnalato nel rapporto di Microsoft.

Microsoft e il Dipartimento di Giustizia degli Stati Uniti hanno chiuso oltre 180 domini di phishing collegati al gruppo nell’ottobre 2024. Nonostante questi sforzi, gli hacker sono rapidamente passati a nuovi domini e metodi.

Questa recente campagna, conclusasi a fine novembre, sottolinea la persistenza e l’adattabilità del gruppo. Mette inoltre in evidenza le sfide in continua evoluzione che le organizzazioni devono affrontare in termini di cybersecurity.

Per mitigare tali rischi, Microsoft consiglia l’uso di strumenti come Defender per Endpoint, l’attivazione di misure anti-phishing, la protezione contro le manomissioni e gli aggiornamenti antivirus in tempo reale forniti dal cloud. Le organizzazioni dovrebbero inoltre formare i dipendenti a riconoscere i tentativi di phishing, in particolare quelli che coinvolgono collegamenti o codici QR.

Per una maggiore sicurezza, gli esperti raccomandano di verificare le email sospette contattando il mittente attraverso canali affidabili e utilizzando pratiche di navigazione sicure.

Questo incidente rafforza l’importanza di misure proattive di cybersecurity poiché gli autori di minacce sviluppano nuovi modi per violare le difese, trasformando anche strumenti comunemente utilizzati come WhatsApp in potenziali vettori di attacco.