Une nouvelle campagne de phishing usurpe l’identité de WhatsApp pour propager un logiciel malveillant capable de voler les données personnelles stockées dans le navigateur.
Les pirates vont à la pêche sur WhatsApp. L’équipe d’Armorblox entreprise spécialisée dans la sécurisation des communications d’entreprises, ont détecté une attaque de phishing d’envergure sur l’application de messagerie WhatsApp.
Ingénierie sociale et cheval de Troie
L'équipe de recherche a constaté cette attaque « sur plusieurs locataires clients dans Office 365 et Google Workspace. L'exposition totale potentielle aux attaques était proche de 28 000 boîtes mail. », écrit-elle. Le maliciel a visé des organisations dans les domaines de la santé, de l’éducation, et de la vente au détail.
Le procédé utilisé est le suivant. Dans un premier temps, un email d’ingénierie social, rassure la cible sous couvert d’une application officielle, et attise sa curiosité, en lui assurant qu'elle a reçu un message vocal. Ensuite, la victime appuie sur le bouton de lecture pour afficher ledit message. Une fois que la cible a cliqué, elle est redirigée vers une page qui tente d’installer un cheval de troie baptisé JS/Kryptik. « Il s'agit d'un code JavaScript obfusqué malveillant intégré dans des pages HTML qui redirige le navigateur vers une URL malveillante », décrivent les chercheurs.
L’utilisateur est alors invité à confirmer qu’il n’est pas un robot et à cliquer sur autoriser. A partir de là, le logiciel malveillant peut accéder à des informations sensibles comme des identifiants stockées dans le navigateur.
A priori légitime
Le domaine de l'expéditeur de l'e-mail est "mailman.cbddmo.ru". « Les recherches de notre équipe suggèrent que le domaine e-mail est associé à la page « centre pour la sécurité routière de la région de Moscou. » détaillent les chercheurs. Cette entité qui appartient au ministère de l’Intérieur de la Fédération de Russie, vise à fournir une assistance aux opérations de sécurité routière de l’État de Moscou. C’est par ce biais que les pirates ont pu paraître légitimes et contourner ainsi les filtres anti-spams. « L'e-mail mis en évidence dans ce blog a passé les contrôles de sécurité d'Office 365, Google Workspace, Exchange, Cisco ESA et autres. »
Recommandations
Pour se prémunir, les experts invitent à examiner les signes (parfois grossiers), qui trahissent une tentative d’hameçonnage. Dans ce cas précis par exemple, l’adresse e-mail d’expéditeur et l’URL de destination demandant aux victimes de cliquer sur « Autoriser » n’étaient pas directement liés à Whats’App. De plus, la messagerie vocale Whats’App n’informe jamais de la réception d’un message vocale. Il convient de toujours se rendre sur l’application officielle pour constater une éventuelle activité, plutôt que de suivre des URL.