Immagina di ricevere un messaggio urgente da WhatsApp dal tuo CEO, che richiede un trasferimento di denaro immediato. La soluzione più sicura e immediata è non agire mai su un singolo messaggio: verifica sempre l’istruzione con una chiamata telefonica diretta o un canale interno fidato prima di procedere con qualsiasi pagamento. Questo semplice gesto di cautela è la tua migliore difesa contro la frode emergente che sta colpendo le aziende in tutto il mondo.
Il mondo della sicurezza informatica è recentemente scosso da una nuova e sofisticata forma di attacco di impersonificazione dei dirigenti, che sta prendendo di mira le imprese, con una complessità tecnica molto superiore alle tradizionali frodi CEO che le organizzazioni hanno finora preparato per gestire. Questa campagna, conosciuta sotto il nome di ‘Boss Scam’, rappresenta una convergenza pericolosa tra l’ingegneria sociale e tecniche malware avanzate, sfruttando la fiducia instintiva che i dipendenti hanno nei loro superiori per compiere azioni finanziarie disastrose in pochi minuti.
L’attacco inizia con un’ingannevole falsa identità. I cybercriminali si presentano come autorità regolatorie, come ad esempio la Banca Centrale, inviando messaggi urgenti a email o a WhatsApp ai dirigenti di alto livello, affermando che esiste un problema di regolamentazione o un aggiornamento di sicurezza critico che richiede un’attenzione immediata. Il messaggio contiene un file ZIP che sembra legittimo, ma che, una volta aperto su un dispositivo Windows, installa un malware sul sistema target. Questo malware ha la capacità di compromettere il dispositivo del dirigente e di accedere alle sessioni WhatsApp Web attive, permettendo agli criminali di prendere il controllo dei canali di comunicazione ufficiali utilizzati dal dirigente.
Una volta che il malware è eseguito, compromette il dispositivo Windows del dirigente e le sessioni web WhatsApp attive, consentendo ai fraudolenti di inviare messaggi ai dipendenti subordinati e orchestrare trasferimenti finanziari fraudolenti. Con l’accesso all’account, i fraudolenti contattano i dipendenti delle finanze e degli conti, richiedendo trasferimenti urgenti o modifiche ai dettagli di pagamento. Poiché la richiesta sembra provenire da un dirigente di alto livello, i dipendenti possono trattarla come legittima. In alcuni casi, i criminali salvano il loro numero di telefono sotto il nome del CEO nella lista dei contatti e iniziano a inviare messaggi ai dipendenti. Per il dipendente, il messaggio sembra provenire direttamente dal boss. La richiesta è generalmente urgente: trasferire fondi, condividere informazioni sensibili, agire immediatamente.
La natura particolarmente pericolosa di questa campagna è legata al modo in cui trasforma la fiducia in un’arma. I criminali non devono decifrare password o accedere a server di posta elettronica. Convincendo il CEO che un’agenzia regolatoria ha emesso un avviso di conformità urgente, il dirigente, credendo che la minaccia sia reale, inoltra un file ZIP malizioso al team finanziario, bypassando quasi tutti i filtri di sicurezza aziendale senza sollevare alcun segnale di allarme. Questo meccanismo di fiducia è esattamente ciò che i criminali sfruttano, e il danno finanziario avviene quasi istantaneamente dopo che ogni attacco si è posato.
Gli analisti hanno identificato questa minaccia e hanno notato diversi casi di alto profilo con lo stesso metodo. Il Ministero ha affermato in un report condiviso che questa campagna segna una convergenza pericolosa di ingegneria sociale e sfruttamento tecnico che molte configurazioni di sicurezza aziendale non sono costruite per gestire. I dipartimenti finanziari sono prese di mira perché gestiscono trasferimenti di denaro e agiscono rapidamente sulle istruzioni dei dirigenti. Quando un messaggio sembra provenire direttamente dall’account WhatsApp verificato del CEO, molti dipendenti non si fermano a chiedersi se è reale. Quell’istinto di fiducia è esattamente ciò che i criminali sfruttano, e il danno finanziario avviene quasi istantaneamente dopo che ogni attacco si è posato.
In casi documentati, trasferimenti fino a 2,45 milioni di rupie sono stati indirizzati a conti di mulattieri in pochi minuti. Una volta spostato, il denaro è estremamente difficile da recuperare. La velocità e la precisione di questa campagna suggeriscono che gli attori della minaccia sono ben organizzati e hanno effettuato una ricognizione dettagliata prima di colpire ogni obiettivo.
Technical Deep Dive
L’attacco tecnicamente sofisticato inizia quando un target apre un archivio ZIP mascherato come un aggiornamento di conformità. All’interno sono presenti due file: un eseguibile (.exe) e una Dynamic Link Library (.dll). Poiché Windows tratta naturalmente i file DLL posizionati nella stessa cartella di un’applicazione in esecuzione, l’.exe chiama e esegue silenziosamente il .dll malizioso in background. Questa tecnica di DLL sideloading permette al malware di stabilizzarsi sul dispositivo senza alertare la maggior parte degli strumenti di sicurezza endpoint.
Il malware poi prende di mira i token di sessione WhatsApp Web memorizzati sul dispositivo Windows compromesso. Rubare questi token permette agli attaccanti di clonare la sessione WhatsApp Web del dirigente sul loro dispositivo. Ottenono pieno accesso alla lettura e all’invio di tutte le conversazioni attive senza toccare il telefono del dirigente o bypassare qualsiasi autenticazione multi-fattoria sul dispositivo mobile.
In una variante secondaria, se il malware riesce a ottenere un accesso più profondo, gli attaccanti salvano silenziosamente un numero controllato dall’attaccante sotto il nome del CEO nella lista dei contatti. Questo crea un canale di backup per inviare istruzioni di trasferimento fraudolento se la sessione compromessa viene rilevata e chiusa. Questo meccanismo di fallback rivela quanto metodicamente tutta la campagna sia stata ingegnerizzata.
La protezione più efficace è semplice: richiedere una chiamata vocale in diretta o una conferma in presenza prima di processare qualsiasi transazione urgente, indipendentemente dalla piattaforma dalla quale è arrivata la richiesta. I team finanziari non dovrebbero mai agire su un messaggio WhatsApp solo, anche da un account dirigente verificato. Gli amministratori IT dovrebbero configurare la Group Policy per bloccare file .exe e .dll dall’esecuzione in directory non fidate come Downloads e AppData. Le aziende dovrebbero deployare strumenti di detection endpoint di nuova generazione capaci di segnalare l’estrazione di token di sessione non autorizzati e l’attività di injection DLL. I dirigenti che usano WhatsApp per affari dovrebbero auditare i dispositivi collegati andando su Settings, poi Linked Devices, e disconnetterarsi da qualsiasi sessione non riconosciuta. Tutto lo staff dovrebbe anche sapere che i regolatori legittimi non invieranno mai strumenti di conformità tramite allegati WhatsApp non sollecitati o file ZIP.
Fonte: https://cybersecuritynews.com/hackers-hijack-whatsapp-web-sessions/




