Los Hackers Explotan WhatsApp en Nueva Campaña de Phishing

Un grupo de hackers rusos, Star Blizzard, ha estado apuntando a las cuentas de WhatsApp para comprometerlas, informó Microsoft Threat Intelligence el 16 de enero. Esto marca un cambio en las tácticas del grupo, con Microsoft señalándolo como la primera instancia de Star Blizzard adoptando un nuevo vector de acceso, divergiendo de sus métodos establecidos.

En noviembre de 2024, Microsoft Threat Intelligence detectó un cambio significativo en las tácticas de “Star Blizzard”, un grupo de hackers rusos conocido por apuntar a funcionarios gubernamentales, diplomáticos y ONGs.

El grupo introdujo un nuevo método de phishing, utilizando WhatsApp como punto de acceso, marcando una desviación de sus estrategias tradicionales. El ataque comenzó con un correo electrónico de spear-phishing que se hacía pasar por un funcionario del gobierno de EE.UU.

Invitaba a los objetivos a unirse a un grupo de WhatsApp supuestamente centrado en apoyar a las ONG ucranianas. El correo electrónico incluía un código QR, que afirmaba enlazar a los usuarios con el grupo, pero deliberadamente fallaba para incitar a los destinatarios a responder.

Una vez que los objetivos respondieron, recibieron otro correo electrónico con una URL acortada que conducía a una página web fraudulenta que se parecía al sitio legítimo de WhatsApp.

Aquí, se les pedía a las víctimas que escanearan un código QR para unirse al grupo. Sin embargo, este código otorgó a los hackers acceso a las cuentas de WhatsApp de las víctimas al explotar el sistema de vinculación de cuentas de la plataforma. Utilizando complementos de navegador, Star Blizzard podía exfiltrar mensajes sensibles.

Star Blizzard, previamente conocido por dirigirse a periodistas y organizaciones de la sociedad civil, se adaptó a las interrupciones operativas. Desde 2023, el grupo ha empleado campañas de spear-phishing para robar información y perturbar actividades, como se señala en el informe de Microsoft.

Microsoft y el Departamento de Justicia de los EE. UU. desactivaron más de 180 dominios de phishing vinculados al grupo en octubre de 2024. A pesar de estos esfuerzos, los hackers rápidamente se trasladaron a nuevos dominios y métodos.

Esta reciente campaña, que concluyó a finales de noviembre, subraya la persistencia y adaptabilidad del grupo. También destaca los desafíos cambiantes de ciberseguridad a los que se enfrentan las organizaciones.

Para mitigar tales riesgos, Microsoft aconseja utilizar herramientas como Defender para Endpoint, habilitar medidas anti-phishing, protección contra manipulaciones y actualizaciones de antivirus entregadas en tiempo real por la nube. Las organizaciones también deberían entrenar a los empleados para reconocer intentos de phishing, particularmente aquellos que involucran enlaces o códigos QR.

Para una mayor seguridad, los expertos recomiendan verificar los correos electrónicos sospechosos contactando al remitente a través de canales de confianza y utilizando prácticas de navegación seguras.

Este incidente refuerza la importancia de las medidas proactivas de ciberseguridad, ya que los actores de amenazas desarrollan nuevas formas de vulnerar las defensas, convirtiendo incluso herramientas comúnmente utilizadas como WhatsApp en posibles vectores de ataque.