Allein in Deutschland nutzen rund 60 Millionen Menschen täglich WhatsApp. Der Messenger ist globaler Marktführer und baut diese Position mit stetig neuen Updates weiter aus. Diese Beliebtheit machen sich nicht wenige Tunichtgute zunutze und gebrauchen den Messenger als Vorwand, um ihre Opfer in die Irre zu führen. Einen Trojaner tarnen sie daher neuerdings als WhatsApp-Sprachnachricht und versenden diese wiederum via E-Mail.

WhatsApp: Phishing-Mail greift Daten ab

Mehr als 27.000 Nutzerinnen und Nutzer soll die betrügerische Nachricht bereits erreicht haben. Die Personen im Hintergrund haben es offenbar auf in Browsern und Apps gespeicherte Anmeldedaten, Krypto-Wallets, SSH-Schlüssel und sogar gespeicherte Dateien abgesehen. In anderen Worten: Lädst du die vermeintliche WhatsApp-Sprachnachricht herunter, legst du beinahe dein gesamtes digitales Leben offen.

Die E-Mail läuft dem Softwareentwickler Armorblox zufolge unter dem Betreff „New Incoming Voicemessage“ (Neue eingehende Sprachnachricht). Der Text in der Nachricht suggeriert eine sichere Benachrichtigung des Messengers und spielt dir vor, die vermeintliche WhatsApp-Sprachnachricht über einen Play-Button abspielen zu können.

Es hat den Anschein, dass die Mail aus Russland stammt, genauer vom Zentrum für Verkehrssicherheit der Moskauer Region. Grund zu dieser Annahme gibt die Absenderdomain „mailman.cbddmo.ru“. Die Behörde untersteht dem Innenministerium der Russischen Föderation. Es scheint wahrscheinlich, dass die Angreifer*innen eine veraltete Version der übergeordneten Domäne der Organisation ausgenutzt haben, um die Phishing-Nachrichten zu versenden und die Filtersysteme von Microsoft und Google zu umgehen.

Klickst du auf den in der E-Mail enthaltenen Play-Button zum Abspielen der vermeintlichen WhatsApp-Sprachnachricht, wirst du zu einer wenig seriös anmutenden Webseite weitergeleitet. Sie versucht, den JS/Kryptik-Trojaner auf deinem PC zu installieren. Dabei handelt es sich Armorblox zufolge um einen „perfiden, verschleierten JavaScript-Code, der in HTML-Seiten eingebettet ist“. Er leitet den Browser auf eine bösartige URL, um einen bestimmten Exploit zu implementieren.

Auf der neuen Seite angekommen, sollst du dann bestätigen, kein Roboter zu sein. Wenn die Zielperson auf der Popup-Benachrichtigung in der URL auf „Zulassen“ klickte, konnte eine bösartige Nutzlast möglicherweise als Windows-Anwendung über einen Browser-Anzeigendienst installiert werden. Also: Lass schön die Finger von der E-Mail und check deine Chats lieber bei WhatsApp selbst gegen.

Quelle: Armorblox

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.