Une nouvelle campagne de phishing WhatsApp se faisant passer pour la fonctionnalité de messagerie vocale de WhatsApp a été découverte, tentant de propager des logiciels malveillants voleurs d’informations à au moins 27 655 adresses e-mail.
Cette campagne de phishing vise à guider le destinataire à travers une série d’étapes qui se termineront finalement par l’installation d’une infection malveillante voleuse d’informations, ouvrant la voie au vol d’informations d’identification.
Les logiciels malveillants voleurs d’informations sont aujourd’hui diffusés de manière agressive par divers moyens, le phishing restant le principal canal pour les acteurs de la menace.
Les informations volées par ces outils malveillants à usage spécial sont principalement des informations d’identification de compte stockées dans des navigateurs et des applications, mais ciblent également des portefeuilles de crypto-monnaie, des clés SSH et même des fichiers stockés sur l’ordinateur.
Messages vocaux WhatsApp comme leurre
La nouvelle campagne de phishing par messages vocaux de WhatsApp a été découverte par des chercheurs d’Armoblox, qui sont constamment à l’affût de nouvelles menaces de phishing.
Pendant des années, WhatsApp a eu la capacité de envoyer des messages vocaux aux utilisateurs dans les groupes et les chats privés, avec la fonctionnalité recevant nouvelles améliorations La semaine dernière.
Une attaque de phishing opportune prétend être une notification de WhatsApp indiquant qu’ils ont reçu un nouveau message privé. Cet e-mail comporte un bouton « Lire » intégré et des détails sur la durée et l’heure de création du clip audio.
L’expéditeur, se faisant passer pour un service « Whatsapp Notifier », utilise une adresse e-mail appartenant au Centre pour la sécurité routière de la région de Moscou.
Étant donné qu’il s’agit d’une entité authentique et légitime, les messages ne sont ni signalés ni bloqués par les solutions de sécurité de messagerie, ce qui est généralement le plus gros problème pour les acteurs de phishing.
Armoblox pense qu’il s’agit d’un cas où les pirates ont en quelque sorte exploité le domaine pour promouvoir leur objectif, de sorte que l’organisation joue un rôle sans le savoir.
Si le destinataire clique sur le bouton « Lire » dans le corps du message, il est redirigé vers un site Web qui propose une invite d’autorisation/de blocage pour l’installation d’un Cheval de Troie JS/Kryptic.
Pour inciter la victime à cliquer sur « Autoriser », les acteurs de la menace affichent une page Web indiquant que vous devez cliquer sur « Autoriser » pour confirmer que vous n’êtes pas un robot. Cependant, en cliquant sur ces boutons d’autorisation, l’utilisateur sera abonné aux notifications du navigateur qui envoient des publicités dans le navigateur pour les escroqueries, les sites pour adultes et les logiciels malveillants.
Cette astuce simple peut être très efficace avec les personnes qui ne sont pas consciemment conscientes ou qui réfléchissent à deux fois à leurs actions en ligne.
Une fois l’option « Autoriser » enfoncée, le navigateur invite l’utilisateur à installer la charge utile, qui dans ce cas est un logiciel malveillant voleur d’informations.
Comment se protéger
Le fait que les e-mails de cette campagne aient contourné de nombreuses solutions de messagerie sécurisée en fait un cas particulièrement désagréable, mais les indices qu’il s’agissait d’hameçonnage étaient encore abondants.
Premièrement, l’adresse e-mail n’a rien à voir avec WhatsApp, et il en va de même pour l’URL de destination qui demande aux victimes de cliquer sur « Autoriser » pour confirmer qu’elles sont réelles. Ils sont tous les deux évidemment hors de l’espace de domaine de WhatsApp.
Deuxièmement, les messages vocaux reçus sur WhatsApp sont téléchargé automatiquement dans l’application cliente, afin que la société de messagerie instantanée ne vous informe jamais de la réception d’un message par e-mail.
Troisièmement, l’e-mail de phishing ne comporte pas de logo WhatsApp, ce qui est presque certainement pour éviter d’avoir des problèmes avec le Contrôles VMC introduit par Gmail l’année dernière.
Pour vous protéger contre les tentatives d’hameçonnage, prenez toujours le temps d’examiner les signes potentiels de fraude lorsque vous recevez des messages qui font des allégations surprenantes, et ne passez jamais à l’action.
Si vous avez besoin de vérifier quelque chose, faites-le vous-même via le site Web ou l’application officielle, et jamais en suivant les URL ou les instructions fournies dans le message.