Attore minacciato da Star Blizzard
L'attore russo di minacce informatiche noto come Star Blizzard è stato collegato a una nuova campagna di spear-phishing che prende di mira gli account WhatsApp delle vittime. Ciò segna un cambiamento rispetto alle sue solite tattiche, probabilmente volte a eludere il rilevamento e a mantenere le sue operazioni sotto un controllo più attento.
Sommario
Obiettivi di alto profilo nel governo e nella diplomazia
Star Blizzard si rivolge principalmente a individui collegati al governo e alla diplomazia, tra cui funzionari attuali ed ex funzionari. Si rivolge anche a ricercatori specializzati in politica di difesa e relazioni internazionali, in particolare quelli il cui lavoro coinvolge la Russia. Un altro gruppo chiave nel suo mirino è costituito da individui e organizzazioni che assistono l'Ucraina nel conflitto in corso con la Russia.
La famigerata Star Blizzard: una minaccia persistente
Precedentemente noto come SEABORGIUM, Star Blizzard ha una lunga storia di attività informatiche che risale almeno al 2012. Opera sotto diversi alias, tra cui Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 e UNC4057. Questo gruppo è noto per le sue campagne di raccolta di credenziali, in genere eseguite tramite e-mail di spear-phishing progettate per rubare credenziali di accesso sensibili.
Una storia di tattiche ingannevoli
Star Blizzard ha tradizionalmente utilizzato e-mail di phishing inviate da account ProtonMail, incorporando link dannosi nei documenti per indurre le vittime a fornire credenziali. Questi attacchi spesso utilizzano pagine basate su Evilginx per aggirare le misure di sicurezza dell'autenticazione a due fattori (2FA) tramite una tecnica Adversary-in-The-Middle (AiTM). Il gruppo ha anche sfruttato piattaforme di email marketing come HubSpot e MailerLite per oscurare i dettagli del mittente e aggirare i filtri di sicurezza.
Interruzioni e adattamenti
Gli sforzi per frenare le attività di Star Blizzard hanno preso piede alla fine dell'anno scorso, quando Microsoft e il Dipartimento di Giustizia degli Stati Uniti (DoJ) hanno sequestrato oltre 180 domini collegati al gruppo. Questi domini erano stati utilizzati attivamente per colpire giornalisti, think tank e ONG tra gennaio 2023 e agosto 2024. La maggiore esposizione pubblica di queste operazioni potrebbe aver costretto il gruppo a modificare le sue tattiche, portando alla recente campagna incentrata su WhatsApp.
Svelato il piano di phishing di WhatsApp
L'ultima campagna inizia con un'e-mail di spear-phishing mascherata da messaggio di un funzionario del governo degli Stati Uniti. Questo approccio ingannevole aggiunge credibilità e aumenta la probabilità di coinvolgimento da parte del bersaglio. L'e-mail contiene un codice QR, che presumibilmente invita i destinatari a unirsi a un gruppo WhatsApp dedicato al supporto delle ONG ucraine. Tuttavia, il codice è deliberatamente violato, spingendo la vittima a rispondere.
Un inganno in più fasi
Dopo aver ricevuto una risposta, Star Blizzard invia un'e-mail di follow-up scusandosi per il problema e fornendo un collegamento t.ly abbreviato al gruppo WhatsApp. Cliccando sul collegamento, il bersaglio viene reindirizzato a una pagina Web che gli chiede di scansionare un altro codice QR. Tuttavia, invece di concedere l'accesso a un gruppo legittimo, questo codice QR è una trappola progettata per sfruttare la funzionalità di collegamento degli account di WhatsApp, concedendo agli aggressori un accesso non autorizzato a messaggi e dati.
Sfruttare le funzionalità di WhatsApp
Le vittime che seguono le istruzioni sul sito ingannevole ('aerofluidthermo.org') permettono inconsapevolmente a Star Blizzard di infiltrarsi nei loro account WhatsApp. Questo metodo consente agli aggressori di esfiltrare messaggi e altri dati sensibili, potenzialmente tramite estensioni del browser.
Misure precauzionali per gli individui a rischio
Chi lavora nel governo, nella diplomazia, nella politica di difesa o nelle relazioni internazionali, in particolare chi ha legami con l'Ucraina, dovrebbe rimanere vigile quando gestisce e-mail contenenti link a fonti esterne. Verificare l'autenticità di messaggi inaspettati prima di cliccare sui link o di scansionare i codici QR è fondamentale per evitare compromessi.
Una minaccia informatica persistente e in continua evoluzione
Questa ultima campagna evidenzia l'adattabilità e la determinazione di Star Blizzard nel continuare le operazioni di spear-phishing nonostante i ripetuti insuccessi. Passando al phishing tramite WhatsApp, il gruppo dimostra la sua capacità di evolvere le tattiche, sottolineando la continua necessità di consapevolezza della sicurezza informatica e misure di protezione tra individui e organizzazioni presi di mira.
