Una estafa de WhatsApp recientemente descubierta ha comenzado a circular en plataformas de mensajería, explotando la popular función de vinculación del dispositivo para confiscar el control total de las cuentas de los usuarios.
El ataque se desarrolla cuando los destinatarios reciben lo que parece ser un mensaje inofensivo de un contacto conocido, que suele decir “¡Hola, accidentalmente encontré su foto!” acompañado de una URL acortada.
Una vez hecho clic, la URL redirige a las víctimas a un portal de inicio de sesión de Facebook falsificado, meticulosamente diseñado para reflejar la interfaz legítima y las credenciales de cosecha.
Los primeros informes indican que la estafa surgió primero en Europa Central antes de extenderse rápidamente en múltiples regiones, lo que aprovecha las técnicas de ingeniería social para que parezcan auténticas.
Al ingresar a sus credenciales de Facebook en la página falsa, las víctimas involuntariamente otorgan a los atacantes acceso al mecanismo de vinculación de WhatsApp.
El malware luego encadena en las sesiones de escritorio y web de WhatsApp generando un enlace de código QR válido utilizando los tokens de sesión de la cuenta comprometida.
En cuestión de minutos, los actores maliciosos pueden ver y exportar historiales de conversación, archivos multimedia y listas de contactos. El fraude financiero, el robo de identidad y los ataques específicos son consecuencias potenciales posteriores una vez que el control se establece completamente.
Mensaje de phishing (fuente – x)
Analistas de laboratorios de amenazas de generación identificado El malware después de correlacionar solicitudes de autenticación inusuales con informes de enlaces no autorizados a cuentas comerciales de WhatsApp.
Su investigación reveló que la infraestructura de backend de la estafa utiliza grupos de servidores sigilosos para transmitir tokens de sesión, evadiendo la detección de herramientas de monitoreo de red convencionales.
Los actores de amenaza también emplean subdominios efímeros, girando casi por hora para frustrar los esfuerzos de derribo y para evitar la lista negra basada en IP.
Además de la recolección de credenciales y el secuestro de sesiones, la estafa incorpora características sutiles de persistencia.
Una carga útil liviana de JavaScript inyectada en la página falsa atrae a los usuarios desprevenidos a instalar una extensión del navegador supuestamente para “mejorar la privacidad”.
⚠️ Niew WhatsApp Alert de estafa en 🇨🇿!
Mensaje de un amigo: “¡Hola, accidentalmente encontré tu foto!” + enlace.
➡️ conduce a una página de inicio de sesión FB falsa.
🎯Goal: el atacante utiliza un enlace de dispositivo para obtener acceso completo a su @WhatsApp: Contactos, chats, medios de comunicación y envía más mensajes maliciosos desde … pic.twitter.com/9z9ubtkidx
– Gen Amenazing Labs (@genthreatlabs) 2 de septiembre de 2025
En realidad, esta extensión se ejecuta en segundo plano, refrescando tokens de sesión robados y ocasionalmente incitando a los usuarios a reanicarse, manteniendo así el acceso continuo.
Si los usuarios intentan revocar los permisos en Facebook, el script malicioso intercepta el flujo de revocación y solicita un mensaje de error engañoso, atrapando aún más a las víctimas en un bucle.
Mecanismo de infección
El mecanismo de infección depende de una estrategia de phishing de credencial clásica aumentada por la reutilización del token de sesión. Una vez que un usuario envía detalles de inicio de sesión en la página falsificada, el componente del lado del servidor gira inmediatamente una sesión web de WhatsApp sin cabeza usando la automatización de Puppeteer.
Esta sesión sin cabeza genera un código QR válido que se reenvía a la consola del atacante, vinculando efectivamente la cuenta móvil de la víctima con la instancia del atacante sin ninguna notificación al usuario.
Para maximizar el sigilo, los atacantes deltiva los scripts de automatización para imitar los patrones de navegación similares a los humanos, completos con movimientos aleatorios del mouse y retrasos de tipificación.
Este enfoque evita las heurísticas que marcan intentos de inicio de sesión rápidos y repetitivos, lo que permite a los actores de amenaza permanecer bajo el radar mientras extraen valiosos datos de conversación.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
