
Une nouvelle campagne de phishing WhatsApp se faisant passer pour la fonctionnalité de messagerie vocale de WhatsApp a été découverte, tentant de propager des logiciels malveillants voleurs d’informations à au moins 27 655 adresses e-mail.
Cette campagne de phishing vise à guider le destinataire à travers une série d’étapes qui se termineront finalement par l’installation d’une infection malveillante voleuse d’informations, ouvrant la voie au vol d’informations d’identification.
Les logiciels malveillants voleurs d’informations sont aujourd’hui diffusés de manière agressive par divers moyens, le phishing restant le principal canal pour les acteurs de la menace.
Les informations volées par ces outils malveillants à usage spécial sont principalement des informations d’identification de compte stockées dans des navigateurs et des applications, mais ciblent également des portefeuilles de crypto-monnaie, des clés SSH et même des fichiers stockés sur l’ordinateur.
Messages vocaux WhatsApp comme leurre
La nouvelle campagne de phishing par messages vocaux de WhatsApp a été découverte par des chercheurs d’Armorblox, qui sont constamment à l’affût de nouvelles menaces de phishing.
Pendant des années, WhatsApp a la possibilité d’envoyer des messages vocaux aux utilisateurs dans des groupes et des discussions privées, la fonctionnalité ayant reçu de nouvelles améliorations la semaine dernière.
Une attaque de phishing opportune prétend être une notification de WhatsApp indiquant qu’ils ont reçu un nouveau message privé. Cet e-mail comporte un bouton « Lire » intégré et des détails sur la durée et l’heure de création du clip audio.
L’expéditeur, se faisant passer pour un service « Whatsapp Notifier », utilise une adresse e-mail appartenant au Centre pour la sécurité routière de la région de Moscou.

Étant donné qu’il s’agit d’une entité authentique et légitime, les messages ne sont ni signalés ni bloqués par les solutions de sécurité de messagerie, ce qui est généralement le plus gros problème pour les acteurs de phishing.
Armorblox pense qu’il s’agit d’un cas où les pirates ont en quelque sorte exploité le domaine pour promouvoir leur objectif, de sorte que l’organisation joue un rôle sans le savoir.
Si le destinataire clique sur le bouton « Lire » dans le corps du message, il est redirigé vers un site Web qui propose une invite d’autorisation/de blocage pour l’installation d’un cheval de Troie JS/Kryptic.
Pour inciter la victime à cliquer sur « Autoriser », les acteurs de la menace affichent une page Web indiquant que vous devez cliquer sur « Autoriser » pour confirmer que vous n’êtes pas un robot. Cependant, en cliquant sur ces boutons d’autorisation, l’utilisateur sera abonné aux notifications du navigateur qui envoient des publicités dans le navigateur pour les escroqueries, les sites pour adultes et les logiciels malveillants.

Étant donné qu’il s’agit d’une entité authentique et légitime, les messages ne sont ni signalés ni bloqués par les solutions de sécurité de messagerie, ce qui est généralement le plus gros problème pour les acteurs de phishing.
Armorblox pense qu’il s’agit d’un cas où les pirates ont en quelque sorte exploité le domaine pour promouvoir leur objectif, de sorte que l’organisation joue un rôle sans le savoir.
Si le destinataire clique sur le bouton « Lire » dans le corps du message, il est redirigé vers un site Web qui propose une invite d’autorisation/de blocage pour l’installation d’un cheval de Troie JS/Kryptic.
Pour inciter la victime à cliquer sur « Autoriser », les acteurs de la menace affichent une page Web indiquant que vous devez cliquer sur « Autoriser » pour confirmer que vous n’êtes pas un robot. Cependant, en cliquant sur ces boutons d’autorisation, l’utilisateur sera abonné aux notifications du navigateur qui envoient des publicités dans le navigateur pour les escroqueries, les sites pour adultes et les logiciels malveillants.