Key takeaways
- Slachtoffers ontvangen e-mails waarin ze zich voordoen als een ambtenaar van de Amerikaanse overheid en worden verleid om op een QR-code te klikken.
- De QR-code geeft de aanvaller toegang tot het WhatsApp-account van het slachtoffer en koppelt dit aan een extern apparaat of WhatsApp-webportaal.
- Met deze tactiek kunnen aanvallers gevoelige berichten bekijken en mogelijk exfiltreren binnen de gecompromitteerde accounts.
De Russische door de staat gesponsorde hackersgroep Star Blizzard heeft een nieuwe tactiek ontdekt: overheidsfunctionarissen en ministers wereldwijd aanvallen via WhatsApp.
Microsoft onthulde dat slachtoffers e-mails ontvangen waarin ze zich voordoen als een ambtenaar van de Amerikaanse overheid en hen verleiden om op een QR-code te klikken. Deze schijnbaar onschuldige actie geeft de aanvaller toegang tot het WhatsApp-account van het slachtoffer. In plaats van verbinding te maken met een groepschat, koppelt de code het account aan een extern apparaat of een WhatsApp-webportal.
Methodes en doelwitten
Als dit programma succesvol wordt uitgevoerd, kunnen de aanvallers gevoelige berichten in de gecompromitteerde accounts bekijken en mogelijk exfiltreren. Hoewel Microsoft geen datalekken heeft bevestigd, is de kans op schade aanzienlijk. De frauduleuze e-mails die in deze campagne worden gebruikt, doen zich vaak voor als uitnodigingen om lid te worden van WhatsApp-groepen die gericht zijn op niet-gouvernementele initiatieven ter ondersteuning van Oekraïense ngo’s.
Geschiedenis en toeschrijving
Deze tactiek is specifiek gericht op personen die betrokken zijn bij diplomatie, defensiebeleid, onderzoek naar internationale betrekkingen met betrekking tot Rusland en inspanningen om Oekraïne te helpen. Star Blizzard heeft een geschiedenis van het aanvallen van hooggeplaatste personen en organisaties, waaronder Britse parlementsleden, universiteiten en journalisten. Het NCSC (Nationaal Cyber Security Centrum) heeft Star Blizzard rechtstreeks in verband gebracht met de Russische FSB (Federale Veiligheidsdienst) en beschuldigt hen ervan het vertrouwen in politieke systemen te willen ondermijnen.
Aanbevelingen en tegenmaatregelen
Hoewel de campagne in november 2023 lijkt te zijn teruggeschroefd, wijst de verschuiving naar het gebruik van QR-codes – een praktijk die in cyberbeveiligingskringen bekend staat als “quishing” – op het aanhoudende gebruik van spear phishing-technieken door Star Blizzard om toegang te krijgen tot gevoelige informatie.
Om deze dreiging te beperken, raadt Microsoft gebruikers aan om voorzichtig te zijn met e-mails, vooral met e-mails met externe links. Ze adviseren de identiteit van de afzender te verifiëren via gevestigde communicatiekanalen. WhatsApp benadrukt dat het koppelen van accounts alleen moet gebeuren via officieel ondersteunde diensten en moedigt gebruikers aan om inkomende links kritisch te beoordelen.
Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!