È stato rilevato un tentativo di phishing via email ai danni di WhatsApp, che si spaccia per la funzione di messaggistica vocale di WhatsApp e tenta di inviare malware ad almeno 27.655 indirizzi e-mail.La base di attacco è stata ricondotta avere origine in Russia.
Indice degli argomenti
“Hai un nuovo messaggio vocale”, la nuova truffa che imita Whatsapp
Questo tentativo di phishing mira a guidare il destinatario del messaggio attraverso una sequenza di azioni che alla fine porteranno all’installazione di un’infezione malware che ruba informazioni personali, consentendo anche il furto di credenziali.
Oggi, il malware per il furto di informazioni viene ampiamente trasmesso attraverso vari canali, il phishing è il metodo per eccellenza più popolare per gli attori delle minacce, di effettuare questa distribuzione. Le credenziali dell’account salvate nei browser e nei programmi sono i dati più comuni presi di mira da questi applicativi malevoli, ma ormai puntano anche a portafogli di criptovaluta, chiavi SSH e persino file conservati sul dispositivo.
I ricercatori di Armoblox, sempre alla ricerca di nuove minacce di phishing, hanno scoperto l’ultimo tentativo di phishing che simulano i messaggi vocali di WhatsApp. Come tutti sappiamo infatti WhatsApp include la funzione di inviare messaggi audio e conversazioni private ai membri dei gruppi e tale caratteristica è stata recentemente aggiornata. Vediamo i dettagli di come si compone questo phishing.
L’attacco mira a installare un malware
Il tentativo di phishing in questa campagna, imita una notifica WhatsApp che dice che è stato ricevuto un nuovo messaggio privato, però via email. Questa e-mail include un pulsante “Riproduci” e informazioni sulla durata e il tempo di creazione del clip audio, il tutto in perfetto stile grafico Whatsapp.
Ecco come appare graficamente il messaggio ricevuto via email (immagine di Armoblox):
Lo spammer, fingendosi un servizio legittimo del tipo “Whatsapp Notifier”, utilizza un account di posta elettronica associato al Centro per la sicurezza stradale della regione di Mosca.
Questo genere di messaggi, non vengono identificati o bloccati dalle soluzioni di sicurezza per la posta elettronica (come per esempio il filtro antispam) perché si tratta di un’azienda realmente esistente e non sospettabile, che di solito è la parte più complicata da imitare per gli autori di phishing. Armoblox ritiene che gli operatori dietro questa campagna abbiano abusato del dominio per promuovere i propri obiettivi e che l’azienda stia giocando un ruolo primario, presumibilmente senza rendersene conto, anche se di questo non ci sono ancora prove concrete.
Il destinatario viene indirizzato a un sito Web che visualizza una richiesta di autorizzazione/blocco, il classico messaggio del browser che ci chiede “Consenti notifiche / Blocca”. Solo che in questo caso per l’installazione di un trojan JS/Kryptic facendo semplicemente clic sul pulsante “Riproduci” nel corpo del messaggio. Attenzione dunque ai link ricevuti via email e ai click in bottoni interni al corpo delle email non conosciute.
La pagina web di phishing è pericolosa
Gli attori delle minacce ci indirizzano a questo punto, una volta fatto click sul bottone della email, a una pagina web che suggerisce di fare clic su “Consenti” per dimostrare che non siamo dei robot per ingannare la vittima ed essere sempre più convincenti. D’altra parte, facendo clic su questi pulsanti di accettazione, l’utente si iscriverà alle notifiche del browser che gli invieranno annunci nel browser per frodi, malware e pagine di siti per adulti.
Questa in figura è l’aspetto della pagina a cui veniamo indirizzati dopo aver cliccato sul bottone Whatsapp nella email (immagine Armoblox):
Questo metodo di phishing può avere abbastanza successo con coloro che non sono consciamente consapevoli dei loro comportamenti online o non ci pensano due volte prima di accettare passivamente ciò che gli si propone davanti agli occhi.
Dobbiamo invece essere sempre cauti e dubitare soprattutto della ricezione di messaggi via email, decisamente non attesi. Whatsapp non ci invierà mai messaggi via email per farci ascoltare un vocale. In questo caso infatti quando l’utente seleziona l’opzione “Consenti”, il browser chiederà loro di installare il payload, che in questo caso è un malware per il furto di dati.
