研究人员发现,恶意攻击者在钓鱼活动中伪造了来自WhatsApp的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。
云电子邮件安全公司Armorblox的研究人员发现了攻击者针对Office 365和Google Workspace账户进行攻击的恶意活动,在该活动中使用了与道路安全中心相关的域名来发送电子邮件,经调查该组织位于俄罗斯莫斯科地区。根据周二发表的一篇博客文章,该网站本身是合法的,它与莫斯科的国家道路安全有关,属于俄罗斯联邦内政部。
研究人员说,到目前为止,攻击者发送的邮件数量已经达到了27,660个,该攻击活动通知受害者有一个来自WhatsApp聊天应用程序的 "新的私人语音邮件",并附加了一个链接,并声称允许他们播放该语音。研究人员说,攻击的目标组织包括医疗保健、教育和零售行业。
Armorblox研究人员在帖子中写道,这种攻击采用了一系列的技术,并且成功避开了传统的电子邮件安全软件,成功打消了用户的所有顾虑。
攻击者的诈骗策略包括在那些发送的电子邮件中获得用户信任来进行社会工程学攻击;通过伪造WhatsApp合法品牌,利用合法的域名来发送电子邮件。
它是如何运作的
在此次攻击活动中,受害者会收到一封标题为 "新来的语音信息" 的电子邮件,其中的电子邮件正文标题也和该标题一样。邮件正文还伪造了一条来自WhatsApp的安全信息,并告诉受害者他或她收到了一个新的私人语音邮件,其中还包括了一个 "播放" 按钮,据称他们可以收听该信息。
他们说,电子邮件发件人的域名是"mailman.cbddmo.ru",Amorblox的研究人员将其链接到了莫斯科地区道路安全中心的网页上,这是一个合法的网站,这样可以使得电子邮件能够通过微软和谷歌的认证检查。然而,他们也承认,攻击者也有可能利用了这个组织的废弃的或旧的域名来发送恶意邮件。
根据该帖子,如果收件人点击了电子邮件的 "播放 "链接,他或她就会被重定向到一个试图安装JS/Kryptik木马的页面,该HTML页面中嵌入了恶意的经过混淆的JavaScript代码,并将浏览器重定向到一个恶意的URL。
一旦受害者进入了恶意的页面,就会有确认受害者不是机器人的验证组件。然后,如果受害者在页面弹出的通知上点击了 "允许",浏览器广告服务就会将恶意的有效载荷安装到Windows上,并使其能够绕过用户账户控制。
一旦恶意软件被安装,它就可以窃取敏感信息,比如存储在浏览器内的凭证。
以毫无戒心的消费者为攻击目标
一位安全专家指出,虽然此次活动的攻击重点似乎只是消费者而非企业,但如果受害者被攻击并安装了恶意软件,它也可能会对企业的网络构成威胁。
基于加密的数据安全解决方案公司Sotero的安全专家在给媒体的一封电子邮件中写道,这些技术的复杂性和精密性使得普通的消费者很难发现这些恶意的攻击企图。你有可能只是看到了一条信息,一旦通过该链接下载了恶意软件并同时进行激活,他们可能就会对商业信息进行窃取。
另一位安全专家也指出,针对消费者进行攻击是网络犯罪分子常用的招数,因为人们似乎对电子通信比现实生活中的通信更容易放松警惕。安全公司KnowBe4的安全研究人员在给媒体的电子邮件中写道,如果普通人非常熟悉那些声称是信息发送的媒体平台,他们往往会上当受骗。
他说,当人们在生活中看到一件事情时,大多数人都会看出有人在试图欺骗他们,他举了一个例子,比如说在纽约市的街头商人试图向路人推销假的名牌手表或手提包。大多数人都会知道它们是假的,然后继续走开。
然而,许多人可能不会发现一封声称是来自流行的应用程序或其他社交媒体平台的语音邮件是进行诈骗的,并且还会按照邮件上的指使来做。
安全专家认为,现在的用户普遍会使用电子邮件进行通信,我们不仅要在组织内部进行安全教育,还需要对每个人进行更多的安全教育,这样才能发现和识别更多的社会工程学骗局。
本文翻译自:https://threatpost.com/attackers-whatsapp-voice-message/179244/