Si bien las estafas vía WhatsApp no son nuevas y las hay de todos los tipos. Recientemente se empezó a conocer una nueva que se aprovecha de una función que es muy popular entre los usuarios de WhatsApp: la conexión a una PC.

Los cibercriminales están utilizando un tipo de ataque conocido como QRLjacking, el cual se aprovecha de técnicas de ingeniería social para atacar aplicaciones que utilizan código QR como método para registrarse. Exactamente así es como funciona WhatsApp, que ofrece a los usuarios la posibilidad de utilizar la app en una computadora.

El famoso "WhatsApp web" es una función que permite usar la app desde la computadora. Se ejecuta de una manera muy sencilla: tras abrir el sitio (https://web.whatsapp.com) el usuario debe scanear un código QR con su celular. Una vez realizada la conexión, se puede usar WhatsApp desde una PC.

Fuente: ESET

A través de un proceso llamado "ingeniería social" (que básicamente se trata de engañar a los usuarios) los cibercriminales se aprovechan de esa función para convencer a las víctimas de escanear el código QR generado por ellos para realizar el ataque.

Los atacantes montan un servidor web con el fichero “qrHandler.php encargado de convertir el código de inicio de sesión a base64 (un tipo de codificación que usa los carácteres A-Z, a-z y 0-9) y, posteriormente, en una imagen jpg y “phishing.html , la página que se usa para llevar a cabo el ataque.

Una vez que el servidor está en funcionamiento, se usa un navegador web como Firefox capaz para inyectar el script “WhatsAppQRJackingModule.js al visitar una web como “https://web.whatsapp.com . Cuando esta web genera el código QR, el script lo envía al servidor que se configuró previamente y se suplanta con el código QR generado por el fichero PHP.

Un sitio "trucho" y comprometido. Se trata de una estafa
que promete un premio a quién ingrese su cuenta allí.

Es decir, los atacantes montan un sitio falso (por lo general una imágen estática) que está conectado a un servidor que ellos mismos manejan. Luego, introducen un código malicioso ejecutable en el código QR. Cuando el usuario scanea el código, un token de autenticación se envía al servidor y con este token es posible iniciar la sesión de esa cuenta.

Hay otros tipos de ataques, más sofisticados, conocidos como Man-in-the-Middle que se aprovecha de las vulnerabilidades de las redes de área local o LAN (por las siglas en inglés de Local Area Network). Los atacantes inyectan código en sitios web seguros y desde ahí lanzan el sitio que efectivamente está comprometido. Esto genera confianza en el usuario que cree estar en un sitio web protegido.

Un caso de "phishing por PopUp" utilizando el sitio Amazon.com

El código fuente malicioso está, hasta ahora, disponbiel en el sitio de repositorio de código GitHub.

 Al ejecutarlo, se puede ver en el código que no sólo está pensado para WhatsApp sino también para sitios de e-commerce y hasta para bancos. Esto significa que es técnicamente posible engañar al usuario y robar sus tokens de identificación de sitios como Mercado Libre o de cuentas de Homebanking.