Исследователи из компании Armorblox обнаружили фишинговую кампанию, в рамках которой злоумышленники пытаются распространять малварь для кражи данных, маскируя свою активность под уведомления о голосовых сообщениях в WhatsApp. Атаки были нацелены как минимум на 27 655 email-адресов.
Эксперты рассказывают, что фишинговая атака маскируется под уведомление о получении нового голосового сообщения в мессенжере. В таком электронном письме есть встроенная кнопка «Воспроизвести», а также сведения о продолжительности сообщения и времени его создания.
При этом отправитель, выдающий себя за службу Whatsapp Notifier, использует email-адрес, не имеющий никакого отношения к WhatsApp и принадлежащий Центру безопасности дорожного движения Московской области.
Очевидно, таким образом хакеры стремятся избежать внимания защитных механизмов и фильтров. Аналитики Armorblox полагают, что в данном случае хакеры каким-то образом использовали чужой домен в своих целях, и организация не имеет к атаке никакого отношения.
Если получатель такого письма нажимает кнопку «Воспроизвести», он будет перенаправлен сайт, который предложит разрешить или запретить установку трояна JS/Kryptic. Это сообщение тоже замаскировано: пользователю якобы предлагается подтвердить, что он не робот.
Увы, на самом деле, нажатие на любую из кнопок подпишет пользователя на уведомления, которые будет приходить от мошеннических сайтов, сайтов для взрослых и могут содержать ссылки на вредоносное ПО. Также после нажатия кнопки «Разрешить», браузер предложит пользователю установить пейлоад, который в данном случае представляет собой упомянутую малварь для кражи информации.
Такие вредоносы в основном похищают учетные данные, хранящиеся в браузерах и приложениях, а также нередко нацелены на криптовалютные кошельки, ключи SSH и даже конкретные файлы, хранящиеся на компьютере жертвы.
