研究人員發(fā)現(xiàn)，惡意攻擊者在釣魚活動(dòng)中偽造了來自WhatsApp的語音信息通知，并且利用了合法的域名來傳播惡意軟件竊取信息。

云電子郵件安全公司Armorblox的研究人員發(fā)現(xiàn)了攻擊者針對(duì)Office 365和Google Workspace賬戶進(jìn)行攻擊的惡意活動(dòng)，在該活動(dòng)中使用了與道路安全中心相關(guān)的域名來發(fā)送電子郵件，經(jīng)調(diào)查該組織位于俄羅斯莫斯科地區(qū)。根據(jù)周二發(fā)表的一篇博客文章，該網(wǎng)站本身是合法的，它與莫斯科的國(guó)家道路安全有關(guān)，屬于俄羅斯聯(lián)邦內(nèi)政部。

研究人員說，到目前為止，攻擊者發(fā)送的郵件數(shù)量已經(jīng)達(dá)到了27,660個(gè)，該攻擊活動(dòng)通知受害者有一個(gè)來自WhatsApp聊天應(yīng)用程序的 "新的私人語音郵件"，并附加了一個(gè)鏈接，并聲稱允許他們播放該語音。研究人員說，攻擊的目標(biāo)組織包括醫(yī)療保健、教育和零售行業(yè)。

Armorblox研究人員在帖子中寫道，這種攻擊采用了一系列的技術(shù)，并且成功避開了傳統(tǒng)的電子郵件安全軟件，成功打消了用戶的所有顧慮。

攻擊者的詐騙策略包括在那些發(fā)送的電子郵件中獲得用戶信任來進(jìn)行社會(huì)工程學(xué)攻擊;通過偽造WhatsApp合法品牌，利用合法的域名來發(fā)送電子郵件。

它是如何運(yùn)作的

在此次攻擊活動(dòng)中，受害者會(huì)收到一封標(biāo)題為 "新來的語音信息" 的電子郵件，其中的電子郵件正文標(biāo)題也和該標(biāo)題一樣。郵件正文還偽造了一條來自WhatsApp的安全信息，并告訴受害者他或她收到了一個(gè)新的私人語音郵件，其中還包括了一個(gè) "播放" 按鈕，據(jù)稱他們可以收聽該信息。

他們說，電子郵件發(fā)件人的域名是"mailman.cbddmo.ru"，Amorblox的研究人員將其鏈接到了莫斯科地區(qū)道路安全中心的網(wǎng)頁上，這是一個(gè)合法的網(wǎng)站，這樣可以使得電子郵件能夠通過微軟和谷歌的認(rèn)證檢查。然而，他們也承認(rèn)，攻擊者也有可能利用了這個(gè)組織的廢棄的或舊的域名來發(fā)送惡意郵件。

根據(jù)該帖子，如果收件人點(diǎn)擊了電子郵件的 "播放 "鏈接，他或她就會(huì)被重定向到一個(gè)試圖安裝JS/Kryptik木馬的頁面，該HTML頁面中嵌入了惡意的經(jīng)過混淆的JavaScript代碼，并將瀏覽器重定向到一個(gè)惡意的URL。

一旦受害者進(jìn)入了惡意的頁面，就會(huì)有確認(rèn)受害者不是機(jī)器人的驗(yàn)證組件。然后，如果受害者在頁面彈出的通知上點(diǎn)擊了 "允許"，瀏覽器廣告服務(wù)就會(huì)將惡意的有效載荷安裝到Windows上，并使其能夠繞過用戶賬戶控制。

一旦惡意軟件被安裝，它就可以竊取敏感信息，比如存儲(chǔ)在瀏覽器內(nèi)的憑證。

以毫無戒心的消費(fèi)者為攻擊目標(biāo)

一位安全專家指出，雖然此次活動(dòng)的攻擊重點(diǎn)似乎只是消費(fèi)者而非企業(yè)，但如果受害者被攻擊并安裝了惡意軟件，它也可能會(huì)對(duì)企業(yè)的網(wǎng)絡(luò)構(gòu)成威脅。

基于加密的數(shù)據(jù)安全解決方案公司Sotero的安全專家在給媒體的一封電子郵件中寫道，這些技術(shù)的復(fù)雜性和精密性使得普通的消費(fèi)者很難發(fā)現(xiàn)這些惡意的攻擊企圖。你有可能只是看到了一條信息，一旦通過該鏈接下載了惡意軟件并同時(shí)進(jìn)行激活，他們可能就會(huì)對(duì)商業(yè)信息進(jìn)行竊取。

另一位安全專家也指出，針對(duì)消費(fèi)者進(jìn)行攻擊是網(wǎng)絡(luò)犯罪分子常用的招數(shù)，因?yàn)槿藗兯坪鯇?duì)電子通信比現(xiàn)實(shí)生活中的通信更容易放松警惕。安全公司KnowBe4的安全研究人員在給媒體的電子郵件中寫道，如果普通人非常熟悉那些聲稱是信息發(fā)送的媒體平臺(tái)，他們往往會(huì)上當(dāng)受騙。

他說，當(dāng)人們?cè)谏钪锌吹揭患虑闀r(shí)，大多數(shù)人都會(huì)看出有人在試圖欺騙他們，他舉了一個(gè)例子，比如說在紐約市的街頭商人試圖向路人推銷假的名牌手表或手提包。大多數(shù)人都會(huì)知道它們是假的，然后繼續(xù)走開。

然而，許多人可能不會(huì)發(fā)現(xiàn)一封聲稱是來自流行的應(yīng)用程序或其他社交媒體平臺(tái)的語音郵件是進(jìn)行詐騙的，并且還會(huì)按照郵件上的指使來做。

安全專家認(rèn)為，現(xiàn)在的用戶普遍會(huì)使用電子郵件進(jìn)行通信，我們不僅要在組織內(nèi)部進(jìn)行安全教育，還需要對(duì)每個(gè)人進(jìn)行更多的安全教育，這樣才能發(fā)現(xiàn)和識(shí)別更多的社會(huì)工程學(xué)騙局。

本文翻譯自：https://threatpost.com/attackers-whatsapp-voice-message/179244/