Przestępcy podpuszczają użytkowników WhatsAppa, by zainstalowali sobie szkodliwe oprogramowanie Kryptic – alarmuje amerykańska firma Armorblox.
Choć WhatsApp ostatnimi czasy zdaje się być w lekkiej recesji, ustępując miejsca komunikatorom takim jak Telegram czy Signal, wciąż posiada rzeszę ponad 2 mld aktywnych użytkowników. Nic dziwnego, że interesują się nim również przestępcy.
Atak, przed którym przestrzegają badacze z firmy Armorblox, nie jest wprawdzie wyjątkowo złożony, ale dość dobrze dopracowany. Dzięki temu, jak zauważono, w chwili nieuwagi łatwo zapłacić frycowe. Jednocześnie konsekwencje mogą być naprawdę poważne, bo mowa o wykradaniu danych uwierzytelniających, w tym dostępów bankowych i portfeli kryptowalut.
Samo oszustwo polega na wysyłce wiadomości e-mail, stylizowanej na oficjalny mailing WhatsAppa. Dowiesz się z niej, że oczekuje na Ciebie prywatna wiadomość głosowa, jednak aby ją odsłuchać, należy przejść do wskazanej witryny. Tam oczekuje z kolei aplikacja webowa, która w sprytny sposób spróbuje pozyskać szereg uprawnień. Jak bowiem przedstawi, kliknięcie opcji Pozwól jest elementem weryfikacji antyspamowej CAPTCHA.
Jeśli połkniesz haczyk, narazisz się w dwójnasób. Użytkownikom Windowsa bezpośrednio wgrany zostanie malware Kryptic, wykradający hasła. W przypadku pozostałych urządzeń natomiast, w tym smartfonów, zostaniesz zbombardowany powiadomieniami zawierającymi rozmaite inne próby phishingu.
Eksperci podkreślają, że niniejsze oszustwo jest groźne również z uwagi na swoją skalę; występuje w dziesiątkach wersji językowych, a w dodatku omija większość filtrów. To drugie wynika z faktu, że korzysta z teoretycznie znanej domeny, a mianowicie Centrum Bezpieczeństwa Ruchu Drogowego Regionu Moskiewskiego, należącej do rosyjskiego Ministerstwa Spraw Wewnętrznych.
Przy czym zauważono jeszcze jeden szczegół. Szkodliwy mail trafia głównie na konta korporacyjne w usługach Google Workspace i Microsoft 365, gdzie wykryto ponad 28 tys. prób ataku. Nie jest to bynajmniej regułą, ale można mówić o pewnej tendencji.
Nie znaleziono dowodów potwierdzających, by za kampanią stały rosyjskie służby. Wydaje się to jednak mało prawdopodobne, bo agentura wybrałaby raczej użycie cudzej domeny – słusznie zauważono. Tak czy inaczej, chcąc uniknąć kłopotów, należy bezwzględnie zachować ostrożność.
Źródło zdjęć: Shutterstock (guteksk7)
Źródło tekstu: Armorblox, oprac. własne