DAJ CYNK

Używasz WhatsApp? Uważaj, nowy atak zbiera żniwo

Piotr Urbaniak (gtxxor)

Bezpieczeństwo

Używasz WhatsApp? Uważaj, nowy atak zbiera żniwo

Przestępcy podpuszczają użytkowników WhatsAppa, by zainstalowali sobie szkodliwe oprogramowanie Kryptic – alarmuje amerykańska firma Armorblox.

Dalsza część tekstu pod wideo
 

Choć WhatsApp ostatnimi czasy zdaje się być w lekkiej recesji, ustępując miejsca komunikatorom takim jak Telegram czy Signal, wciąż posiada rzeszę ponad 2 mld aktywnych użytkowników.  Nic dziwnego, że interesują się nim również przestępcy.

Atak, przed którym przestrzegają badacze z firmy Armorblox, nie jest wprawdzie wyjątkowo złożony, ale dość dobrze dopracowany. Dzięki temu, jak zauważono, w chwili nieuwagi łatwo zapłacić frycowe. Jednocześnie konsekwencje mogą być naprawdę poważne, bo mowa o wykradaniu danych uwierzytelniających, w tym dostępów bankowych i portfeli kryptowalut. 

Samo oszustwo polega na wysyłce wiadomości e-mail, stylizowanej na oficjalny mailing WhatsAppa. Dowiesz się z niej, że oczekuje na Ciebie prywatna wiadomość głosowa, jednak aby ją odsłuchać, należy przejść do wskazanej witryny. Tam oczekuje z kolei aplikacja webowa, która w sprytny sposób spróbuje pozyskać szereg uprawnień. Jak bowiem przedstawi, kliknięcie opcji Pozwól jest elementem weryfikacji antyspamowej CAPTCHA.

Jeśli połkniesz haczyk, narazisz się w dwójnasób. Użytkownikom Windowsa bezpośrednio wgrany zostanie malware Kryptic, wykradający hasła. W przypadku pozostałych urządzeń natomiast, w tym smartfonów, zostaniesz zbombardowany powiadomieniami zawierającymi rozmaite inne próby phishingu. 

Wykorzystano rosyjską domenę rządową

Eksperci podkreślają, że niniejsze oszustwo jest groźne również z uwagi na swoją skalę; występuje w dziesiątkach wersji językowych, a w dodatku omija większość filtrów. To drugie wynika z faktu, że korzysta z teoretycznie znanej domeny, a mianowicie Centrum Bezpieczeństwa Ruchu Drogowego Regionu Moskiewskiego, należącej do rosyjskiego Ministerstwa Spraw Wewnętrznych.

Przy czym zauważono jeszcze jeden szczegół. Szkodliwy mail trafia głównie na konta korporacyjne w usługach Google Workspace i Microsoft 365, gdzie wykryto ponad 28 tys. prób ataku. Nie jest to bynajmniej regułą, ale można mówić o pewnej tendencji.

Nie znaleziono dowodów potwierdzających, by za kampanią stały rosyjskie służby. Wydaje się to jednak mało prawdopodobne, bo agentura wybrałaby raczej użycie cudzej domeny – słusznie zauważono. Tak czy inaczej, chcąc uniknąć kłopotów, należy bezwzględnie zachować ostrożność.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Shutterstock (guteksk7)

Źródło tekstu: Armorblox, oprac. własne