Il team di ricerca di Armorblox ha segnalato un attacco di phishing che spaccia per vera una notifica di messaggio vocale da WhatsApp. Facendo clic sul collegamento per l’ascolto si potrebbe scaricare in realtà un malware per il furto di informazioni.
Secondo quanto riportato, questo attacco e-mail avrebbe preso di mira diverse organizzazioni nel settore sanitario, dell’istruzione e della vendita al dettaglio, interessando più di 27.000 indirizzi e-mail e account di Office 365 e Google Workspace.
Inoltre le e-mail sarebbero state inviate da un dominio valido aggirando così i controlli di sicurezza di Microsoft e Google.
Un campione dell’email di phishing
Il corpo di una e-mail campione avente per oggetto “New Incoming Voicemessage” avvisa l’interlocutore di aver ricevuto un nuovo messaggio vocale privato via WhatsApp invitandolo a fare clic sul pulsante Play per la riproduzione del relativo audio.
Facendo clic sul collegamento i destinatari verrebbero invece reindirizzati a una pagina che tenta di eseguire un codice JavaScript offuscato e malevolo identificato come JS/Kryptik, un trojan che reindirizza il browser verso una posizione URL specifica con software malevolo.
La pagina di phishing
La pagina Web di destinazione infatti, richiede di “confermare di non essere un robot“.
In realtà l’autorizzazione iscriverebbe l’utente ad un servizio di notifiche del browser. Tali notifiche potrebbero veicolare malware tramite annunci pubblicitari e tecniche drive by download.
Il dominio mittente
Altra particolarità è rappresentata dal dominio del mittente dell’e-mail “mailman.cbddmo.ru” che sarebbe associato alla pagina web di una vera organizzazione istituita per fornire assistenza alle operazioni di sicurezza stradale statale di Mosca e appartenente al Ministero degli Affari Interni della Federazione Russa.
“È possibile che gli aggressori abbiano sfruttato una versione obsoleta del dominio principale di questa organizzazione per inviare e-mail dannose. L’e-mail ha superato tutti i controlli di autenticazione (SPF, DMARC)“. Ha scritto nel post Lauryn Cash, Product Marketing Manager di Armorblox.
I consigli
Questo attacco e-mail ha utilizzato una serie di tecniche per superare i tradizionali filtri di sicurezza e-mail e i controlli a vista delle vittime: ingegneria sociale, furto d’identità del marchio, sfruttamento di un dominio legittimo, replica dei flussi di lavoro esistenti.
Pertanto come raccomanda il rapporto, si consiglia di:
- Aumentare la sicurezza della posta elettronica nativa con controlli aggiuntivi;
- fare attenzione ai segnali di ingegneria sociale;
- seguire le buone pratiche per l’autenticazione a più fattori e la gestione delle password.
Ricordiamo che i messaggi vocali ricevuti su WhatsApp vengono scaricati contestualmente dall’app. Non è prevista una notifica all’utente inviata via e-mail.
