研究人员发现,恶意攻击者在钓鱼活动中伪造WhatsApp的语音通知,利用合法域名传播恶意软件窃取信息。云电子邮件安全公司Armorblox的研究人员发现了一个针对Office365和GoogleWorkspace帐户的恶意活动,攻击者使用与道路安全中心关联的域来发送电子邮件。据调查,该组织总部设在俄罗斯莫斯科地区。根据周二发布的一篇博客文章,该网站本身是合法的,该文章与莫斯科的国家道路安全有关,属于俄罗斯联邦内务部。研究人员表示,到目前为止,攻击者已经发送了27,660条消息,通知受害者来自WhatsApp聊天应用程序的“新私人语音邮件”,附上一个链接并声称允许他们播放语音。研究人员表示,此次攻击的目标组织包括医疗保健、教育和零售行业。Armorblox研究人员在帖子中写道,此次攻击使用了一系列技术,成功规避了传统邮件安全软件,成功打消了用户的所有顾虑。攻击者的欺骗策略包括通过社交工程获得用户对所发送电子邮件的信任;通过伪造WhatsApp的合法品牌使用合法域名发送电子邮件。它是如何运作的在这次活动中,受害者会收到一封主题行为“新语音消息”和电子邮件主题文本的电子邮件。该消息的文本还伪造了一条来自WhatsApp的安全消息,并告诉受害者他或她收到了一个新的私人语音邮件,其中还包括一个据称可以收听的“播放”按钮。他们说,电子邮件发件人的域名是“mailman.cbddmo.ru”,Amorblox研究人员将其链接到莫斯科地区道路安全中心的页面,这是一个允许电子邮件通过微软和谷歌认证检查的合法网站。不过,他们也承认,攻击者也有可能利用该组织废弃或旧的域名发送恶意邮件。根据该帖子,如果收件人点击电子邮件的“播放”链接,他或她将被重定向到一个试图安装JS/Kryptik木马的页面,该木马在HTML页面中嵌入恶意混淆的JavaScript代码,并重定向浏览器到恶意URL。一旦受害者进入恶意页面,就会有一个身份验证组件确认受害者不是机器人。然后,如果受害者在页面上弹出的通知中单击“允许”,浏览器广告服务就会在Windows上安装恶意负载并使其能够绕过用户帐户控制。安装恶意软件后,它可以窃取敏感信息,例如存储在浏览器中的凭据。以毫无戒心的消费者为目标一位安全专家表示,尽管该活动似乎侧重于消费者而非企业,但如果受害者受到威胁并安装恶意软件,它也可能对企业造成伤害。网络构成威胁。基于加密的数据安全解决方案公司Sotero的安全专家在给媒体的电子邮件中写道,这些技术的复杂性和精密性使得普通消费者很难察觉这些恶意攻击企图。您可能刚刚看到一条消息,表明一旦通过该链接同时下载并激活了恶意软件,它们就可能会窃取商业信息。另一位安全专家也指出,以消费者为目标是网络犯罪分子的常用策略,因为人们似乎对电子通信比现实生活中的通信更放松。安全公司KnowBe4的安全研究人员在给媒体的一封电子邮件中写道,如果普通人非常熟悉声称正在发送消息的媒体平台,他们往往会上当受骗。当人们在他们的生活中看到一些东西时,大多数人看到有人试图欺骗他们,他说,并引用了纽约市街头经销商试图出售假冒名牌手表或手提包的例子。大多数人会知道它们是假的并继续走开。但是,许多人可能不会将声称来自流行应用程序或其他社交媒体平台的语音邮件识别为骗局,并会按照消息中的说明进行操作。安全专家认为,如今的用户普遍使用电子邮件进行交流,我们不仅要在组织内部,还要对每个人进行安全教育,这样才能发现和识别更多的社会工程学骗局。本文翻译自:https://threatpost.com/attackers-whatsapp-voice-message/179244/
