Kampania phishingowa na WhatsApp i Gmail: jak atakowano „high-profile” cele na Bliskim Wschodzie

Wprowadzenie do problemu / definicja luki

W połowie stycznia 2026 opisano ukierunkowaną kampanię phishingową wymierzoną w użytkowników WhatsApp i Gmail, w tym osoby publiczne i „high-value” (m.in. polityków, dziennikarzy, aktywistów i menedżerów) powiązanych z regionem Bliskiego Wschodu. Atak łączył klasyczne wyłudzanie danych logowania (w tym kodów 2FA) z próbą przejęcia kont WhatsApp poprzez nadużycie mechanizmu łączenia urządzeń (QR), a dodatkowo zawierał elementy typowe dla działań inwigilacyjnych (prośby o dostęp do lokalizacji, mikrofonu i kamery w przeglądarce).

Warto podkreślić: nie mówimy tu o „luce” w rozumieniu podatności CVE, tylko o złożonym łańcuchu socjotechniki + infrastruktury phishingowej, który wykorzystuje legalne funkcje usług oraz błędy operacyjne po stronie atakujących (np. ekspozycja logów ofiar).

W skrócie

• Wektor wejścia: wiadomość na WhatsApp z linkiem prowadzącym do strony phishingowej podszywającej się pod WhatsApp/Gmail.
• Infrastruktura: dynamiczny DNS (DuckDNS) maskował docelową lokalizację phishingu; wykryto domeny o spójnych wzorcach nazewniczych.
• Kradzież danych: formularze wyłudzały login/hasło i kody 2FA; w logach odnotowano setki rekordów danych wpisywanych przez ofiary.
• Próba przejęcia WhatsApp: atak wykorzystywał mechanizm „linked devices” – QR miał skłonić ofiarę do podpięcia konta do urządzenia kontrolowanego przez napastnika.
• Elementy nadzoru: kod strony prosił przeglądarkę o uprawnienia do geolokalizacji i nagrywania (kamera/mikrofon).
• Atrybucja: niejednoznaczna; rozważano zarówno motywację państwową (szpiegostwo), jak i finansową, przy czym fokus na lokalizację/AV jest nietypowy dla czysto finansowego phishingu.

Kontekst / historia / powiązania

Dlaczego WhatsApp i Gmail tak często występują w kampaniach przeciwko osobom „at-risk”?

1. Tożsamość i reset haseł. Gmail bywa „kontem-kluczem” do resetów w innych usługach (bankowość, chmura, social). Kradzież maila z 2FA znacząco zwiększa szanse pełnego przejęcia ekosystemu kont.
2. Komunikacja wrażliwa. Komunikatory (WhatsApp/Signal/Telegram) są naturalnym celem dla aktorów zainteresowanych wywiadem, szantażem lub identyfikacją sieci kontaktów.
3. Ewolucja tradecraftu: coraz częściej widzimy ataki, które nie wymagają malware na urządzeniu – wystarcza przejęcie sesji/konta dzięki socjotechnice i legalnym funkcjom (np. „linked devices”). Google Threat Intelligence Group opisywał analogiczne nadużycia w Signal, gdzie po zeskanowaniu złośliwego QR atakujący uzyskuje trwały wgląd w konwersacje bez pełnego przejęcia telefonu.

Na poziomie makro, agencje rządowe USA wskazywały też, iż zagrożenia spyware/ataki na komunikatory często koncentrują się na „high-value individuals” w USA, Europie i na Bliskim Wschodzie, z użyciem m.in. złośliwych QR i technik socjotechnicznych.

Analiza techniczna / szczegóły luki

1. Łańcuch ataku (high level)

1. Wiadomość na WhatsApp zawiera link sugerujący kontekst spotkania/rozmowy (lure).
2. Link używa subdomeny w DuckDNS (dynamiczny DNS), co pomaga ukryć docelową infrastrukturę i pozwala łatwo rotować IP.
3. Ofiara trafia na stronę:
   • podszywającą się pod Gmail (wyłudzenie login/hasło/2FA), albo
   • podszywającą się pod WhatsApp z QR do „dołączenia do spotkania” (próba przejęcia konta przez podpięcie urządzenia atakującego).
4. Równolegle strona inicjuje prośby o uprawnienia przeglądarki (geolokalizacja, kamera, mikrofon), co – przy akceptacji – umożliwia exfiltrację danych telemetrycznych i multimediów.

2. Infrastruktura i OPSEC (co zdradziło napastników)

W opisywanym przypadku najważniejsze było to, iż w infrastrukturze atakujących pozostawiono publicznie dostępny podgląd zebranych odpowiedzi ofiar (bez hasła), co umożliwiło analizę przebiegu ataku i identyfikację wzorców działania. W logach znajdowały się m.in. wpisywane poświadczenia, błędne próby, a także kody 2FA, co w praktyce działa jak „aplikacyjny keylogger” na poziomie formularza webowego.

Dodatkowo opisano domeny powiązane wzorcem (np. sugerujące „meeting”/„login”), co wskazuje na zestaw gotowych szablonów-przynęt pod różne scenariusze.

3. „Linked devices” jako wektor przejęcia komunikatora

Mechanizm łączenia urządzeń jest wygodny (aplikacja na komputerze), ale ma też ciemną stronę: jeżeli ofiara zeskanuje złośliwy kod QR, może nieświadomie podpiąć swoje konto do instancji kontrolowanej przez atakującego. Wtedy nowe wiadomości mogą trafiać równolegle do ofiary i napastnika, co daje długotrwały podsłuch bez infekowania urządzenia. Analogiczny model ataku (na Signal) opisał GTIG, wskazując, iż jest to „niski sygnał” kompromitacji i może pozostać niezauważony.

4. Uprawnienia przeglądarki = szybka ścieżka do danych wrażliwych

W kodzie strony phishingowej wykorzystywano webowe API do:

• geolokalizacji (stałe odświeżanie pozycji),
• kamery/mikrofonu (wykonywanie zdjęć i krótkich nagrań cyklicznie).

To istotny sygnał: choćby „zwykły” phishing może być rozszerzony o komponent rozpoznania/inwigilacji – a użytkownik, który w pośpiechu kliknie „Zezwól”, traci kontrolę nad tym, co ujawnia.

Praktyczne konsekwencje / ryzyko

Dla ofiar (szczególnie VIP, dziennikarzy, aktywistów, kadr zarządzających) skutki mogą być wielowarstwowe:

• Przejęcie Gmail → przejęcia kolejnych kont przez reset haseł, kradzież dokumentów, podszywanie się w korespondencji.
• Przejęcie WhatsApp przez podpięcie urządzenia → długotrwały wgląd w rozmowy, kontakty, metadane, możliwość socjotechniki „z zaufanego konta”.
• Doxxing/śledzenie (lokalizacja) i ryzyko fizyczne – szczególnie w środowiskach o podwyższonym zagrożeniu.
• Eskalacja do spyware/0-click w innych kampaniach: organy i branżowe alerty zwracają uwagę, iż aktorzy potrafią łączyć socjotechnikę, złośliwe QR oraz bardziej zaawansowane techniki (w tym zero-click) przeciw użytkownikom komunikatorów.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (zwłaszcza „at-risk”)

1. Nie klikaj linków z WhatsApp/SMS bez weryfikacji out-of-band (telefon, Signal/inna aplikacja, znany e-mail).
2. WhatsApp: sprawdź listę połączonych urządzeń i usuń wszystko, czego nie rozpoznajesz (to często najszybszy „objaw” przejęcia przez QR).
3. Gmail/Google: przejdź na phishing-odporne MFA (passkeys lub klucze sprzętowe). Kody SMS/TOTP da się skutecznie wyłudzić w phishingu, co ta kampania pokazała wprost.
4. Przeglądarka: odmawiaj uprawnień (lokalizacja/kamera/mikrofon) stronom z linków; sprawdź też w ustawieniach przeglądarki, jakie witryny mają już nadane dostępy.
5. Higiena sesji: wyloguj inne sesje, zmień hasła, włącz alerty logowań; po incydencie rozważ audyt urządzeń.

Dla organizacji (SOC/IR/IT)

1. Podnieś priorytet ochrony kont VIP: wymuś phishing-resistant MFA, ogranicz ryzykowne metody odzysku, stosuj zasady „high-risk login”.
2. Detekcja i blokady DNS/URL: monitoruj i blokuj podejrzane subdomeny dynamic DNS (np. DuckDNS) tam, gdzie to uzasadnione ryzykiem – to popularny „hosting” dla phishingu.
3. Telemetryka z przeglądarek i CASB/SSE: wykrywaj anomalie (nietypowe logowania, próby MFA, nowe urządzenia w komunikatorach).
4. Procedury dla at-risk: szybkie kanały zgłoszeń, wsparcie weryfikacji linków, szkolenia o „linked devices” i QR-phishing.
5. Playbook IR: osobny scenariusz „Account takeover” (Google Workspace/WhatsApp) z checklistą: reset sesji, odpięcie urządzeń, rotacja recovery, analiza forwarding rules, analiza OAuth app grants.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Ta kampania dobrze wpisuje się w trend, w którym przejęcie konta komunikatora nie musi oznaczać infekcji telefonu. W raporcie GTIG o atakach na Signal centralnym elementem było nadużycie funkcji „linked devices” poprzez złośliwe QR (często maskowane jako zaproszenia, alerty bezpieczeństwa lub instrukcje parowania).

Różnica jest taka, iż w opisywanym przypadku dołożono:

• hybrydę Gmail + WhatsApp (równoległe ścieżki wyłudzenia),
• komponent web-inwigilacji (lokalizacja/AV), co sugeruje potencjalnie szersze cele niż typowe „konto i pieniądze”.

Podsumowanie / najważniejsze wnioski

• To nie była „pojedyncza strona phishingowa”, tylko kampania z wieloma ścieżkami kompromitacji: kradzież Gmail (w tym 2FA) + próba przejęcia WhatsApp przez „linked devices” + elementy rozpoznania (geo/AV).
• Dynamiczny DNS (DuckDNS) ułatwia atakującym rotację infrastruktury i „udawanie” wiarygodnych linków – i jest powszechnie nadużywany w phishingu.
• Najlepszą obroną dla kont wysokiego ryzyka jest MFA odporne na phishing oraz świadome zarządzanie „połączonymi urządzeniami” w komunikatorach.
• Dla organizacji: ochrona VIP to nie szkolenie raz w roku, tylko zestaw wymuszeń technicznych (MFA, polityki odzysku, detekcja anomalii) i szybkie playbooki ATO.

Źródła / bibliografia

1. TechCrunch – opis kampanii, łańcuch ataku, ekspozycja logów ofiar, TTP (Gmail/WhatsApp/geo/AV). (TechCrunch)
2. Google Cloud Blog (Google Threat Intelligence Group) – nadużycia „linked devices” i złośliwe QR w kompromitacji komunikatorów (Signal; kontekst dla WhatsApp). (Google Cloud)
3. CyberScoop – omówienie alertu CISA nt. spyware/ataków na komunikatory, w tym złośliwych QR i fokus na „high-value individuals”. (CyberScoop)
4. Malwarebytes Threat Center – DuckDNS jako usługa często nadużywana przez phisherów (kontekst infrastrukturalny). (Malwarebytes)
5. U.S. Department of the Treasury (OFAC) – sankcje wobec podmiotów realizujących złośliwą aktywność cyber na rzecz IRGC-CEC (kontekst ekosystemu operacji). (home.treasury.gov)