一个新发现的 WhatsApp 骗局已开始在消息平台上流传，利用流行的设备链接功能来夺取对用户帐户的完全控制权。

当收件人收到来自已知联系人的看似无害的消息时，就会发生攻击，通常说“嗨，我无意中发现了你的照片！

单击后，该 URL 会将受害者重定向到伪造的 Facebook 登录门户，该门户经过精心设计，旨在镜像合法界面并获取凭据。

早期报告表明，该骗局首先出现在中欧，然后迅速蔓延到多个地区，利用社会工程技术来显得真实。

在虚假页面上输入他们的 Facebook 凭据后，受害者会无意中授予攻击者访问 WhatsApp 链接机制的权限。

然后，恶意软件通过使用受感染帐户的会话令牌生成有效的二维码链接，链接到 WhatsApp 的桌面和 Web 会话中。

在几分钟内，恶意行为者可以查看和导出对话历史记录、媒体文件和联系人列表。一旦完全建立控制，金融欺诈、身份盗用和进一步的有针对性的攻击都是潜在的下游后果。

Gen Threat Labs 分析师在将异常身份验证请求与未经授权的 WhatsApp Business 帐户链接报告相关联后发现了该恶意软件。

他们的研究表明，该骗局的后端基础设施使用隐蔽的服务器集群来中继会话令牌，从而逃避传统网络监控工具的检测。

威胁行为者还使用临时子域，几乎每小时轮换一次，以挫败删除工作并避免基于 IP 的黑名单。

除了凭据收集和会话劫持之外，该骗局还包含微妙的持久性功能。

注入虚假页面的轻量级 JavaScript 有效负载会诱使毫无戒心的用户安装据称是为了“增强隐私”的浏览器扩展程序。

实际上，此扩展程序在后台运行，刷新被盗的会话令牌，偶尔提示用户重新进行身份验证，从而保持持续访问。

如果用户尝试撤销 Facebook 上的权限，恶意脚本会拦截撤销流程并提示误导性错误消息，进一步将受害者困在循环中。

感染机制

感染机制取决于通过会话令牌重用增强的经典凭据网络钓鱼策略。一旦用户在欺骗页面上提交登录详细信息，服务器端组件就会立即使用 Puppeteer 自动化启动无头 WhatsApp Web 会话。

此无头会话生成一个有效的二维码，该二维码被转发到攻击者的控制台，有效地将受害者的移动帐户链接到攻击者的实例，而无需通知用户。

为了最大限度地提高隐蔽性，攻击者限制了自动化脚本以模仿类似人类的浏览模式，并配有随机鼠标移动和打字延迟。

这种方法绕过了标记快速、重复登录尝试的启发式方法，使威胁行为者能够在提取有价值的对话数据的同时保持雷达之下。