Portada » Home » Correos de phishing con supuestos mensajes de voz de WhatsApp buscan distribuir malware

Correos de phishing con supuestos mensajes de voz de WhatsApp buscan distribuir malware

Se descubrió una nueva campaña de phishing de WhatsApp que se hace pasar por la función de mensajes de voz de la aplicación, e intenta propagar malware para robar información.

Se estima que al menos 27.655 direcciones de correo electrónico han sido alcanzadas.

Esta campaña de phishing tiene como objetivo guiar al destinatario a través de una serie de pasos que finalmente terminarán con la instalación de un malware que roba información, abriendo el camino al robo de credenciales.

El malware de robo de información se distribuye agresivamente hoy en día a través de varios medios, y el phishing sigue siendo un canal principal para los actores de amenazas.

La información robada por estos malware es predominantemente credenciales de cuentas almacenadas en navegadores y aplicaciones, pero también se dirige a billeteras de criptomonedas, claves SSH e incluso archivos almacenados en el equipo de la víctima.

Esta nueva campaña de phishing de mensajes de voz de WhatsApp fue descubierta por investigadores de Armorblox, que están constantemente en busca de nuevas amenazas de phishing.

Durante años, WhatsApp ha tenido la capacidad de enviar mensajes de voz a usuarios en grupos y chats privados, y la función recibió nuevas mejoras la semana pasada.

En este caso, simula ser una notificación de WhatsApp que indica que recibió un nuevo mensaje privado. Este correo electrónico incluye un botón «Reproducir» incrustado y la duración del clip de audio y los detalles del tiempo de creación.

El remitente, disfrazado como un servicio de «Notificador de Whatsapp», está utilizando una dirección de correo electrónico que pertenece al Centro de Seguridad Vial de la Región de Moscú.

The phishing email impersonating WhatsApp
Vía ArmorBlox

Debido a que se trata de una entidad genuina y legítima, las soluciones de seguridad de correo electrónico no marcan ni bloquean los mensajes, lo que suele ser el mayor problema para los agentes de phishing.

Armorblox cree que este es un caso en el que los piratas informáticos explotaron de alguna manera el dominio para promover su propósito, por lo que la organización desempeña un papel sin conocimiento.

Si el destinatario hace clic en el botón «Reproducir» en el cuerpo del mensaje, se le redirige a un sitio web que ofrece un mensaje de permiso/bloqueo para instalar un troyano JS/Kryptic.

Para engañar a la víctima para que haga clic en «Permitir», los atacantes muestran una página web que indica que debe hacer clic en «Permitir» para confirmar que no es un robot.

Sin embargo, al hacer clic en estos botones de permiso, el usuario se suscribirá a las notificaciones del navegador que envían anuncios en el navegador sobre estafas, sitios para adultos y malware.

Este simple truco puede ser muy efectivo con personas que no son conscientes sobre sus acciones en línea.

Una vez que se presiona la opción «permitir», el navegador le pedirá al usuario que instale la carga útil, que en este caso es un malware que roba información.