Специалисты CTM360 сообщили о стремительно развивающейся киберкампании, нацеленной на угон аккаунтов пользователей WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России). Исследователи дали ей название HackOnChat и отметили, что активность охватывает пользователей по всему миру. Пишет anti-malware.
По данным CTM360, злоумышленники создают сотни поддельных страниц, имитирующих интерфейс WhatsApp Web. Эти ресурсы маскируются под официальные страницы аутентификации, а жертв вынуждают довериться через методы социальной инженерии. Для массового производства фишинговых сайтов используются дешёвые доменные зоны и современные конструкторы сайтов, что позволяет преступникам быстро генерировать множество новых URL.
Аналитики выявили тысячи вредоносных ссылок и за последние недели зафиксировали сотни инцидентов, особенно в странах Ближнего Востока и Азии. Специалисты описывают две основные техники атаки. Первая — перехват сессии, когда злоумышленник подключается к активной сессии в WhatsApp Web, используя функцию привязки устройств. Вторая — полный угон аккаунта, при котором жертву убеждают передать ключи аутентификации через поддельные уведомления, фейковые порталы WhatsApp или ложные приглашения в группы.
Фишинговые страницы создаются на высоком уровне: они поддерживают несколько языков, автоматически определяют регион и подбирают код страны, что усиливает доверие пользователя. После получения доступа преступники начинают переписку от имени жертвы, нередко прося деньги или личные данные, просматривают документы и медиафайлы, а также распространяют фишинговые ссылки дальше. В CTM360 подчёркивают, что HackOnChat демонстрирует, насколько эффективной остаётся социальная инженерия, особенно когда злоумышленники создают правдоподобные копии привычных интерфейсов и используют доверие между людьми.
