Siber güvenlik araştırmacıları, bilinmeyen bir tehdit aktörünün, kurbanları bir truva atı yüklemeye ikna etmek amacıyla e-posta üzerinden WhatsApp’ı taklit ettiği konusunda uyardı.
Armorblox’tan bir rapora göre, saldırganlar bugüne kadar sağlık, eğitim ve perakende sektörlerinde 30.000’e yakın uç noktayı hedef aldı ve ayrıca Microsoft ve Google e-posta güvenlik filtrelerini atlamayı başardı.
Raporda, sahte e-postaların Moskova bölgesindeki bir devlet kurumuyla ilişkili görünen ‘mailman.cbddmo.ru’ alanından geldiği belirtiliyor. Araştırmacılar, saldırganların kimlik avı e-postaları göndermek için ana etki alanının kullanımdan kaldırılmış bir sürümünü kullanmış olabileceğini belirtiyor.
Sahte sesli mesaj
E-postanın içeriği, sahte bir WhatsApp sesli mesajı etrafında döner. Kurban, yeni bir özel sesli mesaj aldıklarını söyleyen bir e-posta alacak ve eğer dinlemek istiyorlarsa, sağlanan Oynat düğmesine tıklamaları gerekiyor. Düğmeye basmak, kurbanı JS/Kryptik truva atını yüklemeye çalışan bir sayfaya yönlendirir.
Raporda, “Bu, tarayıcıyı kötü amaçlı bir URL’ye yönlendiren ve belirli bir açıktan yararlanmayı uygulayan, HTML sayfalarına gömülü, kötü niyetli, gizlenmiş bir JavaScript kodudur” deniyor.
Sayfaya geldikten sonra, kurbanın “robot olmadığını” onaylaması gerekecek ve araştırmacıların önerdiği “izin ver” açılır penceresini tıklamak kötü amaçlı yükü yükleyebilecek.
Araştırmacılar, JS/Kryptik’in tarayıcıda saklanan şifreler gibi hassas bilgileri çalabileceğini açıklamaya devam etti.
Her zaman olduğu gibi, tüm kullanıcılar “birdenbire” gelen e-postalardan veya şüpheli adreslerden gelen bağlantılara tıklamamaları veya ekleri indirmemeleri konusunda uyarılır. E-posta, tehdit aktörleri için hala en popüler saldırı vektörüdür, bu nedenle kullanıcıların uyanık olmaları önerilir.