Angriffswelle durch Phishing-Kampagne, die WhatsApp imitiert

Eine Phishing-Kampagne, die sich als WhatsApp ausgibt, hat laut den Forschern mehr als 27.000 Mailboxen angegriffen. Es ist noch nicht klar, wer die Angreifer waren, aber sie haben eine alte Version einer Website des russischen Innenministeriums für Verkehrssicherheit verwendet, wodurch die E-Mails die Authentifizierungsprüfungen umgehen konnten.

„Die Domäne des E-Mail-Absenders war mailman.cbddmo[.]ru“, schreiben die Forscher von Amorblox. „Nachforschungen unseres Teams legen nahe, dass die E-Mail-Domain mit der Seite „center for road safety of the moscow region“ verbunden ist. Laut der Website wurde diese Organisation gegründet, um die staatlichen Straßensicherheitsoperationen für Moskau zu unterstützen, und sie gehört zum Innenministerium der Russischen Föderation. Es ist möglich, dass die Angreifer eine veraltete Version der übergeordneten Domäne dieser Organisation ausnutzten, um die bösartigen E-Mails zu versenden. Die E-Mail hat alle Authentifizierungsprüfungen (SPF, DMARC) bestanden“.

Die E-Mails informierten die Empfänger darüber, dass sie eine Sprachnachricht auf ihrem WhatsApp-Konto erhalten hatten und es erfolgt eine Aufforderung auf einen Link zu klicken, um die Nachricht anzuhören. Die Empfänger wurden, nachdem sie auf den „Play-Link“ in der E-Mail geklickt hatten, auf eine Seite umgeleitet, die dann versucht, einen Trojaner (JS/Kryptik) zu installieren.

Hierbei handelt es sich um einen bösartigen, verschleierten JavaScript-Code, der in HTML-Seiten eingebettet ist, den Browser auf eine bösartige URL umleitet und einen bestimmten Exploit implementiert. Sobald der Betroffene auf der schadhaften Webseite gelandet ist, wird er aufgefordert, zu bestätigen, dass er kein Roboter ist. Wenn nun auf der Popup-Benachrichtigung in der URL auf „Zulassen“ geklickt wurde, konnte eine bösartige Nutzlast möglicherweise als Windows-Anwendung über einen Browser-Anzeigendienst installiert werden, um die Benutzerkontensteuerung zu umgehen. Sobald die Malware (ein sogenannter Infostealer) installiert wurde, kann sie kritische Informationen wie Anmeldedaten, die im Browser gespeichert sind, stehlen.

Sicherheitsexperten empfehlen den Nutzern, beim Erhalt unerwünschter E-Mails einen Gang zurückzuschalten und erst gründlich nachzudenken, bevor sie entscheiden, wie sie damit umgehen wollen. Bei dieser Art von Angriffsmethoden könnte eine Entschleunigung der Reaktionen hilfreich sein, um nicht von diesen raffinierten Bedrohungsakteuren getäuscht zu werden.

Die große Menge an E-Mails von Dienstanbietern, die jeder Internetnutzer erhält, führt dazu, dass die Gehirne darauf trainiert sind, die von ihnen verlangten Aktionen schnell auszuführen. Dennoch sollte ein Mitarbeiter sich mit diesen E-Mails auf rationale und methodische Weise auseinandersetzen, wann immer es möglich ist. Entscheidend ist ein wachsamer erster Blick auf die E-Mail, bei dem der Absendername, die Absender-E-Mail-Adresse, die Sprache in der E-Mail und der logische Zusammenhang des Inhalts überprüft wird (zum Beispiel: Warum führt ein WhatsApp-Link zu einem HTML-Download? Warum stammt die Absender-E-Mail-Domäne von einer Drittorganisation?“).

Ein modernes und umfassendes Sicherheitstraining kann die Mitarbeiter in die Lage versetzen, Phishing-Angriffe proaktiv zu verhindern. Die internen Schulungen sollten regelmäßig wiederholt werden und die Ergebnisse auf einer Plattform gespeichert und analysiert werden, wodurch mit einem sensibilisierten Sicherheitsbewusstsein die Anzahl von erfolgreichen Angriffen auf Unternehmen drastisch reduziert werden kann.