Исследователи кибербезопасности предупреждают, что неизвестный злоумышленник выдает себя за WhatsApp по электронной почте, пытаясь обманом заставить жертв установить троянского коня.

Согласно отчету Armorblox, на сегодняшний день злоумышленники нацелились на почти 30 000 конечных точек в сфере здравоохранения, образования и розничной торговли, а также успешно обошли фильтры безопасности электронной почты Microsoft и Google.

В отчете утверждается, что мошеннические электронные письма приходят с домена «mailman.cbddmo.ru», который, по-видимому, связан с государственным учреждением в Московской области. Возможно, считают исследователи, злоумышленники воспользовались устаревшей версией основного домена для отправки фишинговых писем.

поддельная голосовая почта

Содержание самого письма вращается вокруг поддельного сообщения голосовой почты WhatsApp. Жертва получит электронное письмо о том, что она получила новое личное голосовое сообщение, и если она хочет его прослушать, ей нужно нажать предоставленную кнопку «Воспроизвести». Нажатие кнопки перенаправляет жертву на страницу, которая пытается установить троян JS/Kryptik.

«Это вредоносный запутанный код JavaScript, встроенный в HTML-страницы, который перенаправляет браузер на вредоносный URL-адрес и реализует определенный эксплойт», — говорится в отчете.

После перехода на страницу жертва должна будет подтвердить, что она «не робот», и щелкнуть всплывающее окно «разрешить», которое, по мнению исследователей, может установить вредоносную полезную нагрузку.

Исследователи объяснили, что JS/Kryptik может украсть конфиденциальную информацию, хранящуюся в браузере, например пароли.

Как обычно, всех пользователей предупреждают, чтобы они не нажимали на какие-либо ссылки и не загружали вложения из «необъявленных» электронных писем или подозрительных адресов. Электронная почта остается самым популярным вектором атак для злоумышленников, поэтому пользователям рекомендуется сохранять бдительность.

Поделиться