In Deutschland nutzen täglich rund 60 Millionen Menschen WhatsApp. Der Messenger ist weltweit führend und festigt seine Position durch regelmäßige Updates. Diese Popularität nutzen jedoch Kriminelle aus, indem sie den Messenger als Vorwand verwenden, um ihre Opfer zu täuschen. Neuerdings tarnen sie einen Trojaner als WhatsApp-Sprachnachricht und versenden diesen per E-Mail.
WhatsApp: Phishing-Mail greift Daten ab
Mehr als 27.000 Nutzerinnen und Nutzer soll die betrügerische Nachricht bereits erreicht haben. Die Personen im Hintergrund haben es offenbar auf in Browsern und Apps gespeicherte Anmeldedaten, Krypto-Wallets, SSH-Schlüssel und sogar gespeicherte Dateien abgesehen. In anderen Worten: Lädst du die vermeintliche WhatsApp-Sprachnachricht herunter, legst du beinahe dein gesamtes digitales Leben offen.
Die E-Mail läuft dem Softwareentwickler Armorblox zufolge unter dem Betreff „New Incoming Voicemessage“ (Neue eingehende Sprachnachricht). Der Text in der Nachricht suggeriert eine sichere Benachrichtigung des Messengers und spielt dir vor, die vermeintliche WhatsApp-Sprachnachricht über einen Play-Button abspielen zu können.
Es hat den Anschein, dass die Mail aus Russland stammt, genauer vom Zentrum für Verkehrssicherheit der Moskauer Region. Grund zu dieser Annahme gibt die Absenderdomain „mailman.cbddmo.ru“. Die Behörde untersteht dem Innenministerium der Russischen Föderation. Es scheint wahrscheinlich, dass die Angreifer*innen eine veraltete Version der übergeordneten Domäne der Organisation ausgenutzt haben, um die Phishing-Nachrichten zu versenden und die Filtersysteme von Microsoft und Google zu umgehen.
Was passiert, wenn du dem Link folgst?
Klickst du auf den in der E-Mail enthaltenen Play-Button zum Abspielen der vermeintlichen WhatsApp-Sprachnachricht, wirst du zu einer wenig seriös anmutenden Webseite weitergeleitet. Sie versucht, den JS/Kryptik-Trojaner auf deinem PC zu installieren. Dabei handelt es sich Armorblox zufolge um einen „perfiden, verschleierten JavaScript-Code, der in HTML-Seiten eingebettet ist“. Er leitet den Browser auf eine bösartige URL, um einen bestimmten Exploit zu implementieren.
Auf der neuen Seite angekommen, sollst du dann bestätigen, kein Roboter zu sein. Wenn die Zielperson auf der Popup-Benachrichtigung in der URL auf „Zulassen“ klickte, konnte eine bösartige Nutzlast möglicherweise als Windows-Anwendung über einen Browser-Anzeigendienst installiert werden. Also: Lass schön die Finger von der E-Mail und check deine Chats lieber bei WhatsApp selbst gegen.
Quelle: Armorblox
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.