Star Blizzard Threat Actor
O autor russo de ameaças cibernéticas conhecido como Star Blizzard foi vinculado a uma nova campanha de spear-phishing visando contas de WhatsApp de vítimas. Isso marca uma mudança em suas táticas usuais, provavelmente destinadas a evitar a detecção e manter suas operações sob maior escrutínio.
Índice
Alvos de Alto Perfil no Governo e na Diplomacia
O Star Blizzard tem como alvo principal indivíduos conectados ao governo e à diplomacia, incluindo autoridades atuais e antigas. Ele também tem como alvo pesquisadores especializados em política de defesa e relações internacionais, particularmente aqueles cujo trabalho envolve a Rússia. Outro grupo-chave em sua mira consiste em indivíduos e organizações que auxiliam a Ucrânia no conflito em andamento com a Rússia.
A Infame Nevasca Estelar: Uma Ameaça Persistente
Anteriormente conhecido como SEABORGIUM, o Star Blizzard tem um longo histórico de atividades cibernéticas que remontam a pelo menos 2012. Ele opera sob vários pseudônimos, incluindo Blue Callisto, BlueCharlie (TAG-53), Calisto, COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 e UNC4057. Este grupo é notório por suas campanhas de coleta de credenciais, normalmente executadas por meio de e-mails de spear-phishing projetados para roubar credenciais de login confidenciais.
Uma História de Táticas Enganosas
A Star Blizzard tradicionalmente usa e-mails de phishing enviados de contas ProtonMail, incorporando links maliciosos em documentos para atrair vítimas a fornecer credenciais. Esses ataques geralmente utilizam páginas com tecnologia Evilginx para ignorar as medidas de segurança de Autenticação de Dois Fatores (2FA) por meio de uma técnica Adversary-in-The-Middle (AiTM). O grupo também alavancou plataformas de marketing por e-mail, como HubSpot e MailerLite, para ocultar detalhes do remetente e ignorar filtros de segurança.
Rupturas e Adaptações
Os esforços para coibir as atividades da Star Blizzard ganharam força no final do ano passado, quando a Microsoft e o Departamento de Justiça dos EUA (DoJ) apreenderam mais de 180 domínios vinculados ao grupo. Esses domínios foram usados ativamente para atingir jornalistas, think tanks e ONGs entre janeiro de 2023 e agosto de 2024. A maior exposição pública dessas operações pode ter forçado o grupo a ajustar suas táticas, levando à recente campanha focada no WhatsApp.
O Esquema de Phishing do WhatsApp foi Revelado
A campanha mais recente começa com um e-mail de spear-phishing disfarçado de mensagem de um funcionário do governo dos EUA. Essa abordagem enganosa acrescenta credibilidade e aumenta a probabilidade de engajamento do alvo. O e-mail contém um código QR, supostamente convidando os destinatários a se juntarem a um grupo do WhatsApp dedicado a apoiar ONGs da Ucrânia. No entanto, o código é deliberadamente quebrado, levando a vítima a responder.
Uma Decepção em Várias Etapas
Ao receber uma resposta, a Star Blizzard envia um e-mail de acompanhamento pedindo desculpas pelo problema e fornecendo um link encurtado do t.ly para o grupo do WhatsApp. Clicar no link redireciona o alvo para uma página da Web instruindo-o a escanear outro código QR. No entanto, em vez de conceder acesso a um grupo legítimo, esse código QR é uma armadilha projetada para explorar o recurso de vinculação de contas do WhatsApp, concedendo aos invasores acesso não autorizado a mensagens e dados.
Explorando os Recursos do WhatsApp
As vítimas que seguem as instruções no site enganoso ('aerofluidthermo.org') permitem, sem saber, que a Star Blizzard infiltre suas contas do WhatsApp. Esse método permite que os invasores exfiltrem mensagens e outros dados sensíveis, potencialmente por meio de extensões do navegador.
Medidas de Precaução para Indivíduos em Risco
Aqueles que trabalham no governo, diplomacia, política de defesa ou relações internacionais — particularmente aqueles com laços com a Ucrânia — devem permanecer vigilantes ao lidar com e-mails contendo links para fontes externas. Verificar a autenticidade de mensagens inesperadas antes de clicar em links ou escanear códigos QR é crucial para evitar comprometimento.
Uma Ameaça Cibernética Persistente e em Evolução
Esta última campanha destaca a adaptabilidade e determinação da Star Blizzard em continuar as operações de spear-phishing apesar dos repetidos contratempos. Ao mudar para o phishing do WhatsApp, o grupo demonstra sua capacidade de evoluir táticas, ressaltando a necessidade contínua de conscientização sobre segurança cibernética e medidas de proteção entre indivíduos e organizações visados.
