Ciberdelincuentes están utilizando falsos mensajes de voz de WhatsApp para robar información
Ciberdelincuentes están falsificando mensajes de voz de WhatsApp en una campaña de phishing maliciosa que utiliza un dominio legítimo para propagar un malware que roba información.
Los investigadores de la firma de seguridad Armorblox descubrieron la campaña maliciosa dirigida a las cuentas de Office 365 y Google Workspace. Los atacantes están utilizando correos electrónicos enviados desde un dominio asociado con el Centro para la Seguridad Vial, una entidad con sede en Moscú, Rusia. El sitio en sí es legítimo, ya que está conectado con las operaciones de Seguridad Vial Estatal de Moscú y pertenece al Ministerio del Interior de la Federación Rusa.
Hasta ahora, los atacantes han llegado a unos 27,660 buzones de correo con la campaña. Las organizaciones objetivo incluyen atención médica, educación y comercio minorista.
“El ataque emplea una gama de técnicas para superar los filtros de seguridad de correo electrónico tradicionales y pasar las pruebas oculares de las víctimas desprevenidas”.
Lauryn Cash, gerente de marketing de productos de Armorblox.
Esas tácticas incluyen ingeniería social al generar confianza y urgencia en los correos electrónicos enviados a las víctimas. Asimismo, suplantación de identidad de marca suplantando WhatsApp y la explotación de un dominio legítimo desde el que envían los correos electrónicos.
Cómo funciona
Las posibles víctimas de la campaña reciben un correo electrónico con el título “Nuevo mensaje de voz entrante”. El mensaje incluye un encabezado en el cuerpo del correo electrónico que reitera este título. El cuerpo del correo electrónico falsifica un mensaje seguro de WhatsApp y le dice a la víctima que ha recibido un nuevo mensaje de voz privado. Además, el correo tiene un botón de “Reproducir” para que supuestamente pueda escuchar el mensaje.
El dominio del remitente del correo electrónico es “mailman.cbddmo.ru“, que los investigadores de Amorblox vincularon a la página del centro de seguridad vial de la región de Moscú. Este es un sitio legítimo que permite que los correos electrónicos pasen los controles de autenticación de Microsoft y Google. Sin embargo, es posible que los atacantes explotaran una versión obsoleta o antigua del dominio principal de esta organización para enviar correos electrónicos maliciosos.
Si el destinatario hace clic en el enlace “Reproducir” del correo electrónico, se le redirige a una página que intenta instalar el troyano JS/Kryptik. JS/Kryptik es un código JavaScript ofuscado malicioso incrustado en páginas HTML que redirige el navegador a una URL maliciosa e implementa un exploit específico.
Una vez que el objetivo aterriza en la página maliciosa, un aviso pide confirmación de que la víctima no es un robot. Luego, si la víctima hace clic en “permitir” en la notificación emergente en la URL, un servicio de anuncios del navegador puede instalar el payload malicioso como una aplicación de Windows. En otras palabras, le permite eludir el Control de Cuentas de Usuario.
“Una vez que se instaló el malware… puede robar información confidencial como credenciales que se almacenan en el navegador”.
Atacando usuarios desprevenidos
La campaña parece estar enfocada en usuarios comunes en lugar de empresas. No obstante, podría ser una amenaza para las redes corporativas si las víctimas muerden el anzuelo e instalan el malware.
La persona promedio a menudo cae en estafas en línea si está familiarizada con la plataforma de redes sociales que dice ser el remitente del mensaje, afirmó un experto.
Generalmente, puedes detectar a alguien que intenta estafarte en la vida real. Por ejemplo, un vendedor callejero que intenta venderte un reloj o un bolso de marca falsos. La mayoría de la gente sabrá que son falsos y seguirán caminando.
Sin embargo, es posible que muchas personas no reconozcan que un correo electrónico que afirma tener un mensaje de voz de una aplicación de mensajería popular u otra plataforma de redes sociales es una estafa y lo aceptan.
Por lo tanto, debe haber más educación para todos, no solo dentro de las organizaciones. Es importante detectar la ingeniería social electrónica o las estafas, de modo que parezca que alguien está tratando de vender un reloj o un bolso falso en la calle.
