Microsoft hat neue Vorgehensweisen einer kriminellen Einigung beobachtet, die das Unternehmen als "Star Blizzard" führt. Die russischen Cyberkriminellen hatten ursprünglich etwa Journalisten und Nicht-Regierungs-Organisationen (NGOs) im Visier. Zuletzt versuchten sie, mit einer Phishing-Kampagne WhatsApp-Konten zu übernehmen.
Anzeige
In einem Blog-Beitrag beschreibt Microsoft Details der Spear-Phishing-Kampagne. Zunächst gehe Star Blizzard wie bereits bekannt vor: Sie stellen initial Kontakt mit den Opfern mittels E-Mails her, um sie in einen Schriftverkehr zu verwickeln, bevor sie eine zweite Nachricht mit bösartigem Link senden. Die Absender-Adressen in dieser Kampagne imitieren die von US-Regierungsbeamten – eine bekannte Masche, bekannte politische oder diplomatische Persönlichkeiten nachzustellen.
Die initiale E-Mail enthält einen QR-Code, mit der Empfänger einer WhatsApp-Gruppe mit dem Thema "die jüngsten Nicht-Regierungs-Organisationen mit dem Ziel der Unterstützung ukrainischer NGOs" beizutreten. Der QR-Code ist jedoch defekt und leitet potenzielle Opfer zu keiner gültigen Domain, was die Empfänger zu einer Antwort an die Absender verleiten soll.
Sofern Opfer eine Antwort senden, schickt Star Blizzard eine zweite Mail mit einem durch t[.]ly verkürzten Link als angebliche Alternative, der WhatsApp-Gruppe beizutreten. Nach einem Klick auf den Link öffnet sich eine Webseite, die zum Einscannen eines QR-Codes auffordert, um endgültig in die Gruppe zu gelangen. Allerdings handelt es sich bei dem QR-Code um einen von WhatsApp genutzten Code, um ein Konto mit einem Gerät oder dem WhatsApp-Web-Portal zu verknüpfen.
Wenn ein Opfer der Anleitung folgt, können die Cyberkriminellen Zugriff auf die Nachrichten in ihrem WhatsApp-Konto erhalten und diese Daten mit bekannten Browser-Plug-ins ausleiten, die genau dafür gebaut wurden, diesen Zweck mit WhatsApp-Web-Portal-Zugriff zu erfüllen. So gelangen die Angreifer in die Accounts der Opfer.
Microsoft erklärt, dass es sich um eine begrenzte Kampagne Ende vergangenen November handelte, die jedoch einen Umbruch in den Vorgehensweisen der Star-Blizzard-Gruppe markierte. Microsoft rät dazu, aufmerksam zu bleiben bezüglich empfangener E-Mails, insbesondere dann, wenn Links zu externen Ressourcen enthalten sind. Im Visier stehen zumeist Personen aus Regierungen und Diplomatie, Forschung zu Verteidigungspolitik oder internationalen Beziehungen, sofern diese Bezug zu Russland haben, sowie solchen, die die Ukraine im Kampf gegen Russland unterstützen. Im Zweifel solle man der Person, von der die E-Mail stammen soll, über eine bekannte oder zuvor genutzte E-Mail-Adresse kontaktieren und verifizieren, dass die E-Mail von ihr stammt.
Vergangenen Oktober gelang der US-Justiz in Zusammenarbeit mit Microsoft ein Schlag gegen die kriminelle Bande. Inzwischen wurden mehr als 180 Webseiten der Gruppe vom Netz genommen. Bereits damals versuchte Star Blizzard, mit Phishing-Kampagnen an Zugangsdaten zu gelangen.
(
Kommentare