Star Blizzard ha sido vinculado a una nueva campaña de phishing dirigida a las cuentas de WhatsApp de las víctimas, lo que indica un alejamiento de su tradicional estrategia comercial en un probable intento de evadir la detección.
«Los objetivos de Star Blizzard están más comúnmente relacionados con el gobierno o la diplomacia (tanto titulares de cargos actuales como anteriores), investigadores de políticas de defensa o relaciones internacionales cuyo trabajo se relaciona con Rusia y fuentes de asistencia a Ucrania relacionadas con la guerra con Rusia», dijo el equipo de Inteligencia de Amenazas de Microsoft en un informe compartido con The Hacker News.
Star Blizzard (anteriormente SEABORGIUM) es un grupo de actividades de amenazas vinculado a Rusia conocido por sus campañas de recolección de credenciales. Activo desde al menos 2012, también se lo rastrea bajo los apodos Blue Callisto, BlueCharlie (o TAG-53), Calisto (también escrito Callisto), COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 y UNC4057.
Las cadenas de ataque observadas anteriormente implicaban el envío de correos electrónicos de phishing a objetivos de interés, generalmente desde una cuenta de Proton, adjuntando documentos con enlaces maliciosos que redireccionaban a una página impulsada por Evilginx que es capaz de recolectar credenciales y códigos de autenticación de dos factores (2FA) a través de un ataque de adversario en el medio (AiTM).
Star Blizzard también se ha vinculado al uso de plataformas de marketing por correo electrónico como HubSpot y MailerLite para ocultar las verdaderas direcciones de remitentes de correo electrónico y obviar la necesidad de incluir una infraestructura de dominio controlada por el actor en los mensajes de correo electrónico.
A fines del año pasado, Microsoft y el Departamento de Justicia de Estados Unidos (DoJ) anunciaron la incautación de más de 180 dominios que fueron utilizados por el actor de amenazas para atacar a periodistas, grupos de expertos y organizaciones no gubernamentales (ONG) entre enero de 2023 y agosto de 2024.
El gigante tecnológico evaluó que la divulgación pública de sus actividades probablemente haya impulsado al equipo de piratas informáticos a cambiar sus tácticas y comprometer las cuentas de WhatsApp. Dicho esto, la campaña parece haber sido limitada y se terminó a fines de noviembre de 2024.
«Los objetivos pertenecen principalmente a los sectores gubernamentales y diplomáticos, incluidos funcionarios actuales y anteriores», dijo Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft, a The Hacker News.
«Además, los objetivos incluyen a personas involucradas en la política de defensa, investigadores en relaciones internacionales centrados en Rusia y aquellos que brindan asistencia a Ucrania en relación con la guerra con Rusia».
Todo comienza con un correo electrónico de phishing que pretende ser de un funcionario del gobierno de EE. UU. para darle una apariencia de legitimidad y aumentar la probabilidad de que la víctima interactúe con él.
El mensaje contiene un código QR que insta a los destinatarios a unirse a un supuesto grupo de WhatsApp sobre «las últimas iniciativas no gubernamentales destinadas a apoyar a las ONG de Ucrania». Sin embargo, el código está descifrado deliberadamente para provocar una respuesta de la víctima.
Si el destinatario del correo electrónico responde, Star Blizzard envía un segundo mensaje pidiéndole que haga clic en un enlace al menos abreviado para unirse al grupo de WhatsApp, al tiempo que se disculpa por las molestias ocasionadas.
«Cuando se hace clic en este enlace, se redirige al objetivo a una página web en la que se le pide que escanee un código QR para unirse al grupo», explicó Microsoft. «Sin embargo, WhatsApp utiliza este código QR para conectar una cuenta a un dispositivo vinculado y/o al portal web de WhatsApp».
Si el objetivo sigue las instrucciones del sitio («aerofluidthermo[.]org»), el enfoque permite al actor de la amenaza obtener acceso no autorizado a sus mensajes de WhatsApp e incluso filtrar los datos a través de complementos del navegador.
Se recomienda a las personas que pertenecen a sectores afectados por Star Blizzard que tengan cuidado al manipular correos electrónicos que contengan enlaces a fuentes externas.
La campaña «marca una ruptura con las antiguas tácticas de ataque de Star Blizzard y destaca la tenacidad del actor de amenazas al continuar con las campañas de phishing para obtener acceso a información confidencial incluso frente a repetidas degradaciones de sus operaciones».
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.