攻擊者偽造WhatsApp語音通知來竊取信息
研究人員發(fā)現(xiàn),惡意攻擊者在釣魚活動中偽造了來自WhatsApp的語音信息通知,并且利用了合法的域名來傳播惡意軟件竊取信息。
云電子郵件安全公司Armorblox的研究人員發(fā)現(xiàn)了攻擊者針對Office 365和Google Workspace賬戶進(jìn)行攻擊的惡意活動,在該活動中使用了與道路安全中心相關(guān)的域名來發(fā)送電子郵件,經(jīng)調(diào)查該組織位于俄羅斯莫斯科地區(qū)。根據(jù)周二發(fā)表的一篇博客文章,該網(wǎng)站本身是合法的,它與莫斯科的國家道路安全有關(guān),屬于俄羅斯聯(lián)邦內(nèi)政部。
研究人員說,到目前為止,攻擊者發(fā)送的郵件數(shù)量已經(jīng)達(dá)到了27,660個,該攻擊活動通知受害者有一個來自WhatsApp聊天應(yīng)用程序的 "新的私人語音郵件",并附加了一個鏈接,并聲稱允許他們播放該語音。研究人員說,攻擊的目標(biāo)組織包括醫(yī)療保健、教育和零售行業(yè)。
Armorblox研究人員在帖子中寫道,這種攻擊采用了一系列的技術(shù),并且成功避開了傳統(tǒng)的電子郵件安全軟件,成功打消了用戶的所有顧慮。
攻擊者的詐騙策略包括在那些發(fā)送的電子郵件中獲得用戶信任來進(jìn)行社會工程學(xué)攻擊;通過偽造WhatsApp合法品牌,利用合法的域名來發(fā)送電子郵件。
它是如何運(yùn)作的
在此次攻擊活動中,受害者會收到一封標(biāo)題為 "新來的語音信息" 的電子郵件,其中的電子郵件正文標(biāo)題也和該標(biāo)題一樣。郵件正文還偽造了一條來自WhatsApp的安全信息,并告訴受害者他或她收到了一個新的私人語音郵件,其中還包括了一個 "播放" 按鈕,據(jù)稱他們可以收聽該信息。
他們說,電子郵件發(fā)件人的域名是"mailman.cbddmo.ru",Amorblox的研究人員將其鏈接到了莫斯科地區(qū)道路安全中心的網(wǎng)頁上,這是一個合法的網(wǎng)站,這樣可以使得電子郵件能夠通過微軟和谷歌的認(rèn)證檢查。然而,他們也承認(rèn),攻擊者也有可能利用了這個組織的廢棄的或舊的域名來發(fā)送惡意郵件。
根據(jù)該帖子,如果收件人點擊了電子郵件的 "播放 "鏈接,他或她就會被重定向到一個試圖安裝JS/Kryptik木馬的頁面,該HTML頁面中嵌入了惡意的經(jīng)過混淆的JavaScript代碼,并將瀏覽器重定向到一個惡意的URL。
一旦受害者進(jìn)入了惡意的頁面,就會有確認(rèn)受害者不是機(jī)器人的驗證組件。然后,如果受害者在頁面彈出的通知上點擊了 "允許",瀏覽器廣告服務(wù)就會將惡意的有效載荷安裝到Windows上,并使其能夠繞過用戶賬戶控制。
一旦惡意軟件被安裝,它就可以竊取敏感信息,比如存儲在瀏覽器內(nèi)的憑證。
以毫無戒心的消費(fèi)者為攻擊目標(biāo)
一位安全專家指出,雖然此次活動的攻擊重點似乎只是消費(fèi)者而非企業(yè),但如果受害者被攻擊并安裝了惡意軟件,它也可能會對企業(yè)的網(wǎng)絡(luò)構(gòu)成威脅。
基于加密的數(shù)據(jù)安全解決方案公司Sotero的安全專家在給媒體的一封電子郵件中寫道,這些技術(shù)的復(fù)雜性和精密性使得普通的消費(fèi)者很難發(fā)現(xiàn)這些惡意的攻擊企圖。你有可能只是看到了一條信息,一旦通過該鏈接下載了惡意軟件并同時進(jìn)行激活,他們可能就會對商業(yè)信息進(jìn)行竊取。
另一位安全專家也指出,針對消費(fèi)者進(jìn)行攻擊是網(wǎng)絡(luò)犯罪分子常用的招數(shù),因為人們似乎對電子通信比現(xiàn)實生活中的通信更容易放松警惕。安全公司KnowBe4的安全研究人員在給媒體的電子郵件中寫道,如果普通人非常熟悉那些聲稱是信息發(fā)送的媒體平臺,他們往往會上當(dāng)受騙。
他說,當(dāng)人們在生活中看到一件事情時,大多數(shù)人都會看出有人在試圖欺騙他們,他舉了一個例子,比如說在紐約市的街頭商人試圖向路人推銷假的名牌手表或手提包。大多數(shù)人都會知道它們是假的,然后繼續(xù)走開。
然而,許多人可能不會發(fā)現(xiàn)一封聲稱是來自流行的應(yīng)用程序或其他社交媒體平臺的語音郵件是進(jìn)行詐騙的,并且還會按照郵件上的指使來做。
安全專家認(rèn)為,現(xiàn)在的用戶普遍會使用電子郵件進(jìn)行通信,我們不僅要在組織內(nèi)部進(jìn)行安全教育,還需要對每個人進(jìn)行更多的安全教育,這樣才能發(fā)現(xiàn)和識別更多的社會工程學(xué)騙局。
本文翻譯自:https://threatpost.com/attackers-whatsapp-voice-message/179244/
