Согласно новым данным, раскрытым Microsoft, киберпреступная кампания, связанная с Россией, использует QR-коды для доступа к учетным записям WhatsApp таких известных целей, как журналисты, члены аналитических центров и сотрудники неправительственных организаций (НПО).

Группа, которую Microsoft отслеживает под названием «Star Blizzard», также упоминается другими исследователями как Coldriver. В прошлом году группа создала учетные записи для выдачи себя за других, в которых участники выдавали себя за экспертов в области, которая может быть интересна их целям или которая каким-то образом связана с целью. Как только связь будет установлена, объект получит фишинговую ссылку или документ, содержащий фишинговую ссылку.

Но со временем эта тактика стала широко известной, и часть инфраструктуры киберпреступников была выведена из строя. Теперь, похоже, группа изменила тактику и отправляет QR-коды вместо вредоносных ссылок целям, с которыми они установили первоначальные отношения.

Эти QR-коды не перенаправляют жертву на вредоносный веб-сайт и не присоединяют ее к обещанной группе WhatsApp о «последних неправительственных инициативах, направленных на поддержку украинских неправительственных организаций», как утверждается в одной из приманок киберпреступников.

На самом деле ссылка в QR-коде намеренно сломана. Идея заключается в том, что объект ответит замечанием о разорванной ссылке. Когда это происходит, киберпреступники отправляют сокращенный URL-адрес на веб-сайт, на котором отображается еще один QR-код.

Сканируя этот QR-код и следуя инструкциям на сайте, они подтверждают добавление дополнительного устройства в аккаунт WhatsApp цели. Имея такой доступ, группа может читать сообщения в своей учетной записи WhatsApp и использовать существующие плагины браузера, особенно те, которые предназначены для экспорта сообщений WhatsApp из учетной записи, доступ к которой осуществляется через WhatsApp Web.

Эти целевые фишинговые кампании являются узконаправленными, и вы, вероятно, никогда не увидите приглашения в эту группу. Но киберпреступники склонны копировать идеи, которые работают, поэтому вы можете увидеть их в другой форме.

Есть несколько простых правил, которые помогут вам избежать подобного рода фишинга.

Всегда наводите курсор на ссылки, прежде чем нажимать на них.

Когда вы обнаружите сокращенный URL, подумайте о возможной причине сокращения. Была ли в этом реальная необходимость или это просто сделано для того, чтобы скрыть пункт назначения?

Если вы все еще сомневаетесь, сократите URL-адрес.

Следуя инструкциям на веб-сайте, тщательно изучите, действительно ли подсказки на вашем устройстве соответствуют ожидаемым. WhatsApp перепроверит, хотите ли вы добавить устройство в аккаунт.

Перепроверьте, является ли отправитель тем, за кого себя выдает, с помощью другого способа связи.

(в пересказе)

Первоисточник: malwarebytes.com »