Beveiligingsonderzoekers ontdekten een nieuwe phishing-zwendel gericht op verschillende organisaties in de gezondheidszorg, onderwijs, en zorgsectoren. Ongeveer 27,660 mailboxen zijn bereikt door de verdachte e-mailberichten. ArmorBlox-onderzoekers hebben meer details verstrekt over de phishing aanval.
Nieuwe phishing-campagne gebruikt WhatsApp-spraakmeldingen als lokmiddel
De technieken die de phishing-operators gebruikten, waren onder meer vishing, drive-by downloads, en merkimitatie, onder andere social engineering-trucs. De verleiding in de campagne is een slim geschreven, sociaal ontworpen e-mail met de titel "Nieuw inkomend spraakbericht",” die een koptekst in de e-mailtekst bevatte die de e-mailtitel herhaalde.
Wat betreft de e-mailtekst, het vervalste een beveiligd bericht van WhatsApp en suggereerde dat het slachtoffer een nieuwe privé-voicemail had ontvangen, ArmorBlox zei:. Bij het openen van het bericht, de gebruiker zou worden uitgenodigd om op de knop "afspelen" te klikken om het beveiligde bericht te bekijken.
Niet verrassend, het domein van de afzender van de e-mail bleek afkomstig te zijn uit Rusland: mailman.cbddmo.ru. De onderzoekers suggereerde dat "het e-maildomein is gekoppeld aan de pagina 'centrum voor verkeersveiligheid van de regio Moskou'". Volgens de website is deze organisatie opgericht om assistentie te verlenen aan de staatsoperaties op het gebied van verkeersveiligheid voor Moskou en behoort ze toe aan het ministerie van Binnenlandse Zaken van de Russische Federatie,”Aldus het rapport.
Het is waarschijnlijk dat de phishing-operators een verouderde of een oude versie van het bovenliggende domein van de organisatie hebben misbruikt om de kwaadaardige e-mails te verzenden. Het is opmerkelijk dat de e-mail alle authenticatiecontroles heeft doorstaan, zoals SPF en DMARC.
Wat is het einddoel van de operatie?? Het uiteindelijke doel is om de gebruiker een specifieke . te laten installeren trojan, JS/KryptikFig, via een speciaal ontworpen landingspagina. Eenmaal op de pagina, gebruikers werden gevraagd om een "geen robot"-controle uit te voeren. Na het klikken op "toestaan" in de pop-upmelding in de URL, de kwaadaardige payload is gestart. Het type geïnstalleerde malware is een infostealer, in staat om verschillende gevoelige details van de computer van het slachtoffer te verkrijgen.
Nieuwe techniek maakt phishing niet te onderscheiden
Phishingpogingen evolueren en worden steeds bedreigender voor zowel individuele gebruikers als hele organisaties. Browser-in-de-browser (BitB) is een nieuw type aanval dat kan worden gebruikt om een browservenster in de browser te simuleren om een legitiem domein te vervalsen. De techniek kan worden gebruikt om geloofwaardige phishing-aanvallen uit te voeren.
Ontdekt door een penetratietester die bekend staat als mr. d0x, de techniek maakt gebruik van single sign-opties van derden die doorgaans zijn ingesloten op websites, zoals Aanmelden met Facebook of Google.