一个新发现的 WhatsApp 骗局已开始在消息平台上流传,利用流行的设备链接功能来夺取对用户帐户的完全控制权。
当收件人收到来自已知联系人的看似无害的消息时,就会发生攻击,通常说“嗨,我无意中发现了你的照片!
单击后,该 URL 会将受害者重定向到伪造的 Facebook 登录门户,该门户经过精心设计,旨在镜像合法界面并获取凭据。
早期报告表明,该骗局首先出现在中欧,然后迅速蔓延到多个地区,利用社会工程技术来显得真实。
在虚假页面上输入他们的 Facebook 凭据后,受害者会无意中授予攻击者访问 WhatsApp 链接机制的权限。
然后,恶意软件通过使用受感染帐户的会话令牌生成有效的二维码链接,链接到 WhatsApp 的桌面和 Web 会话中。
在几分钟内,恶意行为者可以查看和导出对话历史记录、媒体文件和联系人列表。一旦完全建立控制,金融欺诈、身份盗用和进一步的有针对性的攻击都是潜在的下游后果。
Gen Threat Labs 分析师在将异常身份验证请求与未经授权的 WhatsApp Business 帐户链接报告相关联后发现了该恶意软件。
他们的研究表明,该骗局的后端基础设施使用隐蔽的服务器集群来中继会话令牌,从而逃避传统网络监控工具的检测。
威胁行为者还使用临时子域,几乎每小时轮换一次,以挫败删除工作并避免基于 IP 的黑名单。
除了凭据收集和会话劫持之外,该骗局还包含微妙的持久性功能。
注入虚假页面的轻量级 JavaScript 有效负载会诱使毫无戒心的用户安装据称是为了“增强隐私”的浏览器扩展程序。
实际上,此扩展程序在后台运行,刷新被盗的会话令牌,偶尔提示用户重新进行身份验证,从而保持持续访问。
如果用户尝试撤销 Facebook 上的权限,恶意脚本会拦截撤销流程并提示误导性错误消息,进一步将受害者困在循环中。
感染机制
感染机制取决于通过会话令牌重用增强的经典凭据网络钓鱼策略。一旦用户在欺骗页面上提交登录详细信息,服务器端组件就会立即使用 Puppeteer 自动化启动无头 WhatsApp Web 会话。
此无头会话生成一个有效的二维码,该二维码被转发到攻击者的控制台,有效地将受害者的移动帐户链接到攻击者的实例,而无需通知用户。
为了最大限度地提高隐蔽性,攻击者限制了自动化脚本以模仿类似人类的浏览模式,并配有随机鼠标移动和打字延迟。
这种方法绕过了标记快速、重复登录尝试的启发式方法,使威胁行为者能够在提取有价值的对话数据的同时保持雷达之下。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
