Aparecen nuevos dominios maliciosos con caracteres unicode que lucen similares a los de marcas conocidas,.
Una nueva web cuya URL es "шһатѕарр.com" invita a los usuarios que caigan en ella a instalar adware en sus dispositivos. El dominio es realmente es otro, pero el navegador lo interpreta como "шһатѕарр.com".
A simple vista a este dominio se le notan más los caracteres "raros", pero más de uno ni siquiera notará la diferencia. Su existencia ha sido reportada y les dejamos algunas capturas de pantalla de lo que aparece cuando haces click desde un dispositivo móvil.
El ataque está claramente enfocado a dispositivos móviles, y desde Google Chrome para Android es muy difícil notar la diferencia. Si visitas la URL desde el ordenador, te redirige inmediatamente a un sitio falso que luce así:
El proceso es simple:
-
Primero el usuario recibe un mensaje invitándolo a probar WhatsApp en diferentes colores con un enlace a http://шһатѕарр.com/?colors.
-
Cuando haces click en el enlace te obligan a compartir el link con muchos grupos para verificar que eres humano y terminas infectando a más gente.
-
Una vez que compartes el enlace te harán instalar aplicaciones llenas de adware.
-
Luego de que instalas las apps con adware te dirán que los colores de WhastApp solo están disponibles para WhatsApp web y te harán instalar una extensión para Chrome falsa
La extensión BlackWhats están en la Chrome Web Store aún, así que aprovechamos para reportarla. Así que has sido advertido, nadie con buenas intenciones anda regalando "temas de colores nuevos para WhatsApp". Este problema con la URL en punycode fue resuelto en los navegadores de escritorio, pero aparentemente en Chrome para Android hay aún espacio para aprovecharlo.