Hemos detectado una nueva campaña maliciosa que circula a través de WhatsApp que busca hacer creer a los usuarios que WhatsApp celebra su aniversario y que regala 50GB con datos móviles para navegar por Internet. Pero lejos de obtener esta cantidad de datos, las víctimas proporcionan a los atacantes su número de teléfono y son redireccionados a otros sitios que buscan instalar adware en el dispositivo de las víctimas.
Imagen 1. Mensaje que llega a los usuarios a través de WhatsApp. Generalmente el mensaje llega de un contacto conocido que cayó en la trampa.
El enlace que aparece en el mensaje es sospechoso a simple vista, ya que ni siquiera es parecido al dominio oficial. Si el usuario desprevenido decide hacer clic abrirá una página en su navegador que tampoco tiene relación alguna con el sitio oficial de la app de mensajería, aunque sí utiliza el nombre para darle una apariencia legítima. Por otra parte, como suele suceder en este tipo de esquemas fraudulentos, el sitio añade comentarios falsos de otros supuestos usuarios que se beneficiaron del regalo para darle mayor credibilidad.
Imagen 2. Página que abre la potencial víctima al hacer clic en el enlace.
Si el usuario avanza y hace clic en el botón “haga clic aquí”, aparecerá un campo que solicitará ingresar el número de teléfono para verificar si es elegible para el beneficio de los 50GB.
Imagen 3. Instancia en la que solicitan ingresar el número de teléfono para verificar si es elegible para obtener el supuesto beneficio.
Una vez que el usuario ingresa su número de teléfono (o cualquier número) y hace clic en enviar, sin importar el número que haya colocado aparecerá un mensaje solicitando compartir el beneficio con 12 contactos o grupos de WhatsApp con la promesa falsa de que luego de compartir el mensaje se acreditarán los 50GB en su línea.
Imagen 4. Etapa de la campaña fraudulenta en la que se solicita a la víctima compartir el beneficio con sus contactos para poder avanzar.
Sin embargo, el engaño solicita realizar un paso más para obtener el beneficio y adicionalmente se ofrecen otros premios para que la potencial víctima decida continuar. Como se observa en la imagen a continuación, el usuario deberá hacer clic en alguna de las siguientes opciones para continuar.
Imagen 5. Luego de compartir con sus contactos el supuesto beneficio se solicita realizar un último proceso de verificación que redirige a otras páginas que ofrecen descargar extensiones o complementos para el navegador.
Independientemente de dónde haga clic la campaña página redireccionará a otras páginas que en última instancia recomienda la instalación de distintas extensiones para el navegador cuya reputación es desconocida y tampoco se tiene la certeza de que la extensión mencionada es la que se descargará, ya que no se trata del repositorio oficial de extensiones para Google Chrome.
Estas extensiones en realidad son adware; es decir, programas maliciosos que despliegan publicidad no deseada en el equipo del usuario.
Imagen 6. Ejemplo de una supuesta extensión para bloquear anuncios desde un sitio que no es el repositorio oficial de extensiones de Google Chrome.
Imagen 7. Extensión que promete un buscador complementario y en realidad lo que hace es redireccionar al usuario a páginas sospechosas y también recolectar información del usuario.
Imagen 8. Ejemplo de otra supuesta extensión para bloquear anuncios desde un sitio que no es el repositorio oficial de extensiones de Google Chrome
Imagen 9. Otra supuesta extensión para bloquear anuncios desde un sitio que no es el repositorio oficial de extensiones de Google Chrome
Además de las extensiones de dudosa reputación, otras páginas aparecen en el proceso de redirección de esta campaña. Una de ellas abre una notificación en el navegador solicitando permisos para verificar que no se trata de un robot. Si el usuario otorga permisos, se activarán las notificaciones del navegador y comenzarán a desplegarse anuncios no deseados en el equipo advirtiendo, por ejemplo, que el usuario debe instalar una solución de seguridad porque se han detectado códigos maliciosos en el equipo.
Imagen 10. Supuesto proceso de verificación solicita al usuario permitir notificaciones, lo que deriva en que se activen las notificaciones del navegador y se desplieguen anuncios potencialmente maliciosos y no deseados.
Esto es falso y el objetivo de estos anuncios es que la víctima descargue software adicional que puede derivar en algo más severo que desplegar publicidad no deseada, como es la descarga de malware en el equipo.
Conclusión y recomendaciones
La circulación a través de WhatsApp de este tipo de fraudes haciendo referencia al aniversario de una marca conocida es muy frecuente. A lo largo de los últimos años hemos reportado una gran cantidad de campañas similares en las cuales se hacen pasar por grandes compañías para ofrecer supuestos regalos con motivo de la celebración del supuesto aniversario. Sin embargo, son fraudes que buscan atraer a los usuarios con beneficios que generalmente son demasiado buenos para ser verdad.
Dicho esto, la principal recomendación para los usuarios, además de desconfiar, es no hacer clic en estos enlaces que llegan de manera inesperada, por más que vengan de un contacto conocido. Esto último probablemente se debe a que el contacto cayó en la trampa y compartió el mensaje creyendo que obtendría el supuesto beneficio. Además, instalar una solución de seguridad confiable en el dispositivo, ya que esto permitirá detectar a tiempo cualquier aplicación maliciosa que quiera instalarse en el equipo.
Por otra parte, advertir a los contactos que enviaron el mensaje para que puedan tomar las medidas correspondientes en caso de haber instalado algunas de estas extensiones.
FUENTE: welivesecurity