攻擊者偽造WhatsApp語音通知來竊取信息

研究人員發現，惡意攻擊者在釣魚活動中偽造了來自WhatsApp的語音信息通知，并且利用了合法的域名來傳播惡意軟件竊取信息。

云電子郵件安全公司Armorblox的研究人員發現了攻擊者針對Office 365和Google Workspace賬戶進行攻擊的惡意活動，在該活動中使用了與道路安全中心相關的域名來發送電子郵件，經調查該組織位于俄羅斯莫斯科地區。根據周二發表的一篇博客文章，該網站本身是合法的，它與莫斯科的國家道路安全有關，屬于俄羅斯聯邦內政部。

研究人員說，到目前為止，攻擊者發送的郵件數量已經達到了27,660個，該攻擊活動通知受害者有一個來自WhatsApp聊天應用程序的 "新的私人語音郵件"，并附加了一個鏈接，并聲稱允許他們播放該語音。研究人員說，攻擊的目標組織包括醫療保健、教育和零售行業。

Armorblox研究人員在帖子中寫道，這種攻擊采用了一系列的技術，并且成功避開了傳統的電子郵件安全軟件，成功打消了用戶的所有顧慮。

攻擊者的詐騙策略包括在那些發送的電子郵件中獲得用戶信任來進行社會工程學攻擊；通過偽造WhatsApp合法品牌，利用合法的域名來發送電子郵件。

它是如何運作的

在此次攻擊活動中，受害者會收到一封標題為 "新來的語音信息" 的電子郵件，其中的電子郵件正文標題也和該標題一樣。郵件正文還偽造了一條來自WhatsApp的安全信息，并告訴受害者他或她收到了一個新的私人語音郵件，其中還包括了一個 "播放" 按鈕，據稱他們可以收聽該信息。 他們說，電子郵件發件人的域名 是"mailman.cbddmo.ru"，Amorblox的研究人員將其鏈接到了莫斯科地區道路安全中心的網頁上，這是一個合法的網站，這樣可以使得電子郵件能夠通過微軟和谷歌的認證檢查。 然而，他們也承認，攻擊者也有可能利用了這個組織的廢棄的或舊的域名來發送惡意郵件。

根據該帖子，如果收件人點擊了電子郵件的 "播放 "鏈接，他或她就會被重定向到一個試圖安裝JS/Kryptik木馬的頁面，該HTML頁面中嵌入了惡意的經過混淆的JavaScript代碼，并將瀏覽器重定向到一個惡意的URL。

一旦受害者進入了惡意的頁面，就會有確認受害者不是機器人的驗證組件。然后，如果受害者在頁面彈出的通知上點擊了 "允許"，瀏覽器廣告服務就會將惡意的有效載荷安裝到Windows上，并使其能夠繞過用戶賬戶控制。

一旦惡意軟件被安裝，它就可以竊取敏感信息，比如存儲在瀏覽器內的憑證。

以毫無戒心的消費者為攻擊目標

一位安全專家指出，雖然此次活動的攻擊重點似乎只是消費者而非企業，但如果受害者被攻擊并安裝了惡意軟件，它也可能會對企業的網絡構成威脅。

基于加密的數據安全解決方案公司Sotero的安全專家在給媒體的一封電子郵件中寫道，這些技術的復雜性和精密性使得普通的消費者很難發現這些惡意的攻擊企圖。你有可能只是看到了一條信息，一旦通過該鏈接下載了惡意軟件并同時進行激活，他們可能就會對商業信息進行竊取。

另一位安全專家也指出，針對消費者進行攻擊是網絡犯罪分子常用的招數，因為人們似乎對電子通信比現實生活中的通信更容易放松警惕。安全公司KnowBe4的安全研究人員在給媒體的電子郵件中寫道，如果普通人非常熟悉那些聲稱是信息發送的媒體平臺，他們往往會上當受騙。

他說，當人們在生活中看到一件事情時，大多數人都會看出有人在試圖欺騙他們，他舉了一個例子，比如說在紐約市的街頭商人試圖向路人推銷假的名牌手表或手提包。大多數人都會知道它們是假的，然后繼續走開。 

然而，許多人可能不會發現一封聲稱是來自流行的應用程序或其他社交媒體平臺的語音郵件是進行詐騙的，并且還會按照郵件上的指使來做。

安全專家認為，現在的用戶普遍會使用電子郵件進行通信，我們不僅要在組織內部進行安全教育，還需要對每個人進行更多的安全教育，這樣才能發現和識別更多的社會工程學騙局。