Μια νέα phishing καμπάνια χρησιμοποιεί τη δημοφιλή εφαρμογή ανταλλαγής μηνυμάτων WhatsApp για να εξαπατήσει τους χρήστες. Συγκεκριμένα τα phishing emails εκμεταλλεύονται τα φωνητικά μηνύματα του WhatsApp και προσπαθούν να διαδώσουν malware που κλέβει πληροφορίες. Τα κακόβουλα emails έχουν στοχεύσει τουλάχιστον 27.655 χρήστες.
- Τα malware κλοπής πληροφοριών (info-stealing malware) είναι πολύ δημοφιλή μεταξύ των κυβερνοεγκληματιών και διανέμονται με διάφορους τρόπους. Τα phishing emails αποτελούν ίσως τη βασικότερη μέθοδο διανομής.
Στις περισσότερες περιπτώσεις, αυτά τα malware χρησιμοποιούνται για την κλοπή credentials που αποθηκεύονται σε προγράμματα περιήγησης και εφαρμογές. Ωστόσο, στοχεύουν επίσης cryptocurrency wallets, SSH keys ή και αρχεία που είναι αποθηκευμένα στον υπολογιστή.
Phishing emails με υποτιθέμενα φωνητικά μηνύματα WhatsApp
Η νέα phishing καμπάνια που χρησιμοποιεί τα φωνητικά μηνύματα WhatsApp για να εξαπατήσει τους χρήστες, ανακαλύφθηκε από ερευνητές της Armorblox.
Τα emails εμφανίζονται σαν ειδοποίηση από το WhatsApp και ενημερώνουν τον παραλήπτη ότι έχει λάβει ένα νέο προσωπικό μήνυμα. Το email περιλαμβάνει ένα ενσωματωμένο κουμπί “Αναπαραγωγή” και δείχνει λεπτομέρειες σχετικά με τη διάρκεια και το χρόνο δημιουργίας του κλιπ.
- Σύμφωνα με τους ερευνητές, ο αποστολέας, μεταμφιεσμένος σε υπηρεσία “Whatsapp Notifier“, χρησιμοποιεί μια διεύθυνση email που ανήκει στο Κέντρο Οδικής Ασφάλειας της Περιφέρειας της Μόσχας. Επειδή πρόκειται για μια γνήσια και νόμιμη οντότητα, τα phishing emails δεν επισημαίνονται ως επικίνδυνα και δεν αποκλείονται από λύσεις ασφαλείας email.
Η Armorblox πιστεύει ότι οι επιτιθέμενοι εκμεταλλεύτηκαν με κάποιο τρόπο το domain κι έτσι ο οργανισμός παίζει έναν ρόλο σε αυτή τη phishing καμπάνια, χωρίς να το γνωρίζει.
- Εάν ο παραλήπτης κάνει κλικ στο κουμπί “Αναπαραγωγή”, ανακατευθύνεται σε έναν ιστότοπο που εμφανίζει ένα μήνυμα allow/block για την εγκατάσταση ενός trojan JS/Kryptic.
Πώς οι εγκληματίες πείθουν το χρήστη να πατήσει allow; Εμφανίζεται μια ιστοσελίδα που δηλώνει ότι ο χρήστης πρέπει να κάνει κλικ στο “Allow” για να επιβεβαιώσει ότι δεν είναι ρομπότ. Στην πραγματικότητα, όμως, αυτή η ενέργεια θα εγγράψει τον χρήστη σε browser notifications που στέλνουν in-browser διαφημίσεις για απάτες, sites για ενηλίκους και κακόβουλο λογισμικό.
Μόλις πατηθεί η επιλογή “allow”, το πρόγραμμα περιήγησης θα ζητήσει από τον χρήστη να εγκαταστήσει το payload, το οποίο σε αυτήν την περίπτωση είναι ένα info-stealing malware.
Phishing εκστρατεία WhatsApp: Προστασία
Όπως είπαμε και παραπάνω, το email κατάφερε να φτάσει σε πολλά inboxes, παρακάμπτοντας λύσεις ασφαλείας.
Ωστόσο, υπάρχουν ενδείξεις ότι πρόκειται για απάτη:
- Η διεύθυνση email δεν έχει καμία σχέση με το WhatsApp και το ίδιο ισχύει για τη διεύθυνση URL που ζητά από τα θύματα να κάνουν κλικ στο “Allow” για να επιβεβαιώσουν ότι δεν είναι robot.
- Τα φωνητικά μηνύματα που λαμβάνονται στο WhatsApp γίνονται αυτόματα λήψη στην εφαρμογή, επομένως δεν γίνεται ενημέρωση με email για τη λήψη τέτοιου μηνύματος.
- Το phishing email δεν διαθέτει το λογότυπο του WhatsApp.
Επομένως, κάθε φορά που λαμβάνετε ένα μήνυμα, ελέγξτε το καλά και μην κάνετε βιαστικές κινήσεις. Επίσης, μην ανοίγετε συνημμένα αρχεία και συνδέσμους που υπάρχουν σε emails που δεν περιμένετε.
Τα info-stealing malware αποτελούν όλο και μεγαλύτερη απειλή, αφού καθημερινά μαθαίνουμε για την εμφάνιση νέων. Στις αρχές του μήνα έγινε γνωστό ένα νέο malware με το όνομα BlackGuard, το οποίο μπορεί να κλέψει δεδομένα από ένα ευρύ φάσμα εφαρμογών. Μπορεί να κλέψει όλους τους τύπους πληροφοριών που σχετίζονται με Crypto wallets, VPN, Messengers, FTP credentials, αποθηκευμένα browser credentials και άλλα. Ωστόσο, φαίνεται να εστιάζει κυρίως στα cryptocurrency assets.