Microsoft, a través de su equipo de inteligencia de amenazas, ha alertado sobre una banda llamada Star Blizzard respaldada por el Servicio Federal de Seguridad Ruso (FSB) que está conduciendo una campaña de phishing para comprometer cuentas de WhatsApp y conseguir acceso a sus mensajes y sus datos.
Este grupo, rastreado también como Callisto Group y Coldriver, apunta contra objetivos gubernamentales, diplomáticos y de defensa, con su punto de mira puesto en oficiales e investigadores cuyo trabajo tiene que ver con la política rusa y el apoyo a Ucrania.
Los cibermalos buscan comprometer cuentas de la conocida aplicación de mensajería instantánea mediante emails en los que se invitaba a las víctimas a unirse a grupos falsos de WhatsApp.
En estos de emails los actores de amenazas se hacen pasar por funcionarios del gobierno de EE.UU. Además, incluyen un código QR invitando a los destinatarios a escanearlo y sumarse a esos grupos en los que supuestamente se comentan "las últimas iniciativas no gubernamentales destinadas a apoyar a las ONG de Ucrania".
Microsoft asegura que este código QR que se proporciona está deliberadamente pensado para no funcionar, tratando de que los receptores respondan directamente al correo electrónico.
Una vez se contesta al email Star Blizzard envía un segundo correo con un enlace en Safe Link que supuestamente sería un link alternativo para unirse al grupo de WhatsApp. Sin embargo, cuando se pincha en este nuevo enlace, se redirige a las víctimas a una página web que les pide que escaneen otro código QR para entrar al dichoso grupo.
Sin embargo, el gigante tecnológico aclara que este cógido es usado por la app de Meta para conectar una cuenta a un dispositivo vinculado y al portal web de WhatsApp.
"Esto significa que si el objetivo sigue las instrucciones de esta página, el actor amenazas puede obtener acceso a los mensajes de su cuenta de WhatsApp y tener la capacidad de exfiltrar estos datos utilizando complementos de navegador existentes, que están diseñados para exportar mensajes de WhatsApp desde una cuenta a la que se accede a través de WhatsApp Web", advierten desde la firma de Redmond.
"Esta es la primera vez que identificamos un cambio en las tácticas, técnicas y procedimientos (TTP) de larga data de Star Blizzard para aprovechar un nuevo vector de acceso", destaca la compañía fundada dirigida por Satya Nadella.
Peligroso y flexible
El equipo de inteligencia de amenazas de Microsoft observó la actividad a mediados de noviembre y notó que la campaña parecía disminuir a fines de mes.
Este grupo respaldado por Rusia habría cambiado su modus operandi, probablemente porque tanto Microsoft como agencias gubernamentales han expuesto públicamente los procedimientos típicos del FSB.
Desde el pasado 3 de octubre la compañía y el Departamento de Justicia de EE.UU. han confiscado o eliminado más de 180 páginas web vinculados con la actividad de Star Blizzard.