O objetivo dos cibercriminosos é conseguir informações do Office 365 e do Google Workspace, em uma nova campanha que usa um domínio legítimo russo para enviar golpes de WhatsApp
Criminosos estão falsificando notificações de mensagens de voz do WhatsApp em uma campanha de phishing direcionada a usuários comuns e que utiliza um domínio legítimo da Rússia para espalhar malware de roubo de dados pessoais, descobriram pesquisadores de segurança.
A campanha maliciosa tem como objetivo contas do Office 365 e do Google Workspace e utiliza mensagens enviadas de um domínio associado ao Centro de Segurança Rodoviária, uma instituição que se acredita estar localizada na região de Moscou, na Rússia.
O site em si é legítimo, pois está conectado às operações estaduais de segurança rodoviária de Moscou e pertence ao Ministério de Assuntos Internos da Federação Russa, de acordo com o relatório publicado em abril. Porém, acredita-se que a ameaça seja global, e utiliza o domínio apenas para contornar medidas de segurança tradicionais.
Até agora, os criminosos atingiram cerca de 27.660 caixas de entrada com a campanha, que falsifica o popular aplicativo de mensagens para “informar às vítimas que elas têm uma nova mensagem de voz privada” no WhatsApp. A mensagem inclui um link que permite que a vítima reproduza a mensagem de voz, disseram os pesquisadores.
As organizações-alvo incluem empresas do setor de saúde, educação e varejo, alerta o relatório.
O ataque “emprega uma gama de técnicas para passar pelos filtros tradicionais de segurança de e-mail e passar nos testes de verificação dos usuários mais inocentes”, explica o relatório.
As táticas incluem estratégias de engenharia social, gerando confiança e urgência nos e-mails enviados às vítimas; personificação de marca, falsificando o WhatsApp; a exploração de um domínio legítimo para enviar os e-mails; e a replicação de fluxos de trabalho existentes, ou seja, receber uma notificação por e-mail de uma mensagem de voz.
Como funciona a campanha de phishing via WhatsApp
As vítimas potenciais da campanha recebem um e-mail com o título “nova mensagem de voz recebida”; o e-mail inclui um cabeçalho que reitera a mensagem, criando um senso de urgência.
O corpo do e-mail falsifica uma mensagem segura do WhatsApp e informa à vítima que ela recebeu uma nova mensagem privada, inserindo um botão de “reproduzir” para que o usuário possa ouvir a mensagem.
O domínio do remetente do e-mail é “mailman.cbddmo.ru”, que os pesquisadores vincularam à página do centro de segurança rodoviária da região de Moscou – um site legítimo, o que permite que os e-mails passem pelas verificações de autenticação da Microsoft e do Google.
No entanto, é possível que os criminosos tenham explorado uma versão obsoleta ou antiga do domínio raiz dessa organização para enviar os e-mails maliciosos.
Se o destinatário clicar no botão “reproduzir” do e-mail, ele será redirecionado para uma página que tenta instalar um trojan JS/Kryptik – um código JavaScript incorporado em páginas HTML que redireciona o navegador para um URL malicioso e implementa um exploit específico, de acordo com o relatório.
Quando o alvo chega à página maliciosa, um prompt solicita a confirmação de que a vítima não é um robô. Então, se a vítima clicar em “permitir” no pop-up na URL, um serviço de anúncios do navegador pode instalar a carga maliciosa como um aplicativo do Windows, permitindo que ele ignore o Controle de Conta de Usuário.
“Uma vez que o malware foi instalado, ele pode roubar informações confidenciais, como credenciais armazenadas no navegador”, informam os pesquisadores.
Usuários desavisados podem abrir as portas para redes corporativas
Embora a campanha pareça estar focada em consumidores, e não nas empresas, a campanha pode ser uma ameaça às redes corporativas se as vítimas caírem no golpe e o malware for instalado.
Isso porque o roubo das credenciais pode incluir dados corporativos, sobretudo em tempos de trabalho remoto e de dispositivos compartilhados para atividades pessoais e profissionais. Como o foco é em usuários do Office 365 e do Google Workspace, é provável que esse seja o passo seguinte da campanha,
Mirar nos consumidores é um caminho de sucesso para os cibercriminosos, pois as pessoas parecem baixar a guarda com a comunicação eletrônica, sobretudo quando se trata de um aplicativo tão comumente usado como o WhatsApp. Além disso, com táticas cada vez mais sofisticadas, tem se tornado especialmente complexa a detecção de ameaças pelos usuários comuns.
É por isso que, além das soluções de segurança, empresas que querem se manter seguras precisam investir na educação e treinamento de colaboradores, a fim de que eles possam identificar ameaças de phishing e outros ataques comuns que, embora, a princípio, não mirem redes corporativas, podem abrir as portas para uma invasão em larga escala.
Quer proteger sua empresa dos diversos ataques e golpes cibernéticos em circulação atualmente? Conheça as soluções de segurança da Compugraf e saiba como podemos ajudar os seus colaboradores a se manterem seguros!