Saldırganlar, Bilgi Çalmak İçin WhatsApp Sesli Mesaj Uyarılarını Taklit Ediyorlar

Araştırmacılar, saldırganların, bilgi çalan kötü amaçlı bir yazılımı yaymak için meşru bir domain’i kullanan kötü niyetli bir oltalama saldırısının, WhatsApp'tan gelen sesli mesaj bildirimlerini taklit ettiğini keşfetti.

Bulut e-posta güvenlik firması Armorblox'taki araştırmacılar, Moskova, Rusya bölgesinde bulunduğuna inanılan bir kuruluş olan Karayolu Güvenliği Merkezi ile ilişkili etki alanından gönderilen e-postaları kullanarak Office 365 ve Google Workspace hesaplarını hedefleyen kötü amaçlı saldırıyı keşfetti. Salı günü yayınlanan bir blog yazısına göre, sitenin kendisi Moskova için devlet yol güvenliği operasyonlarına bağlı olduğu ve Rusya Federasyonu İçişleri Bakanlığı'na ait olduğu için meşrudur.

Araştırmacılar, kurbanların sohbet uygulamasında " New Incoming Voice message"ları olduğunu bildirerek WhatsApp'ı taklit eden ve onları oynatmalarına izin veren bir bağlantı içeren saldırı ile saldırganların şimdiye kadar yaklaşık 27.660 posta kutusuna ulaştığını söyledi. Araştırmacılar, hedeflenen kuruluşların sağlık, eğitim ve perakende satışını içerdiğini söyledi.

Armorblox Ürün Pazarlama Müdürü Lauryn Cash gönderide, saldırının "geleneksel e-posta güvenlik filtrelerini aşmak ve şüphelenmeyen kurbanların göz testlerini geçmek için bir dizi teknik kullanıyor" diye yazdı.

Cash, bu taktiklerin kurbanlara gönderilen e-postalarda güven ve aciliyet yaratarak sosyal mühendisliği, WhatsApp'ı taklit ederek marka kimliğine bürünmeyi, e-postaların gönderileceği meşru bir alandan yararlanmayı ve mevcut iş akışlarının kopyalanmasını (sesli mesajın e-posta bildirimi alınması) içerdiğini açıkladı.  

Nasıl Çalışır: 

Saldırının potansiyel kurbanları, “New Incoming Voice message” başlıklı ve e-posta body’sinde bu başlığı yineleyen header içeren bir e-posta alır. E-posta body’si, WhatsApp'tan gelen güvenli bir mesajı taklit eder ve kurbana, mesajı dinleyebilecekleri sözde bir "Play" düğmesi de dahil olmak üzere yeni bir özel sesli mesaj aldıklarını söyler.

E-posta gönderenin domain’i, Amorblox araştırmacılarının Moskova bölgesi sayfasının yol güvenliği merkezine bağlantılandırdığı "mailman.cbddmo.ru" domain’iydi. Bunun e-postaların hem Microsoft'un hem de Google'ın kimlik doğrulama kontrollerini geçmesine izin veren meşru bir site olduğunu söylediler. Ancak araştırmacılar, saldırganların kötü niyetli e-postaları göndermek için bu kuruluşun parent domain’inin kullanımdan kaldırılmış veya eski bir sürümünü kullanmalarının olası olduğunu kabul ettiler.

Gönderiye göre, alıcı e-postanın "Play" bağlantısını tıklarsa, trojan horse JS/Kryptik yüklemeye çalışan bir sayfaya yönlendirilir. Bu, tarayıcıyı kötü amaçlı bir URL'ye yönlendiren ve belirli bir açıktan yararlanmayı uygulayan, HTML sayfalarına gömülü, kötü niyetli, gizlenmiş bir JavaScript kodudur.

Hedef, kötü amaçlı sayfaya ulaştığında, kurbanın bir robot olmadığının onaylanması için bir onaylama istenir. Ardından, eğer kurban URL'deki popup bildiriminde "allow"a tıklarsa, bir tarayıcı reklam hizmeti kötü amaçlı yükü bir Windows uygulaması olarak yükleyerek yükün User Account Control’ü atlamasına izin verir.

Cash, “Kötü amaçlı yazılım yüklendikten sonra tarayıcıda depolanan kimlik bilgileri gibi hassas bilgileri çalabilir” dedi.