Ataques coordenados por agentes alinhados à Rússia têm mirado indivíduos de interesse por meio do aplicativo de mensagens focado em privacidade Signal, buscando obter acesso não autorizado às suas contas.
"A técnica mais nova e amplamente utilizada por essas tentativas de comprometimento de contas do Signal é o abuso do recurso legítimo de 'dispositivos vinculados' do aplicativo, que permite o uso do Signal em vários dispositivos simultaneamente," disse o Google Threat Intelligence Group (GTIG) em um relatório.
Nesses ataques observados pelas equipes de inteligência de ameaças da gigante da tecnologia, os agentes de ameaça, incluindo um rastreado como UNC5792, recorreram a códigos QR maliciosos que, ao serem escaneados, vinculam a conta da vítima a uma instância do Signal controlada pelo atacante.
Como resultado, mensagens futuras são entregues sincronamente tanto à vítima quanto ao agente de ameaça em tempo real, concedendo aos atacantes um modo persistente de espionar as conversas da vítima.
O Google informou que o UAC-0195 tem sobreposições parciais com um grupo de hacking conhecido como UAC-0195.
Esses códigos QR são conhecidos por se disfarçar como convites de grupo, alertas de segurança ou instruções legítimas de pareamento de dispositivos do site do Signal.
Alternativamente, os códigos QR maliciosos de vinculação de dispositivo foram encontrados embutidos em páginas de phishing que pretendem ser aplicativos especializados usados pelo militar ucraniano.
"O UNC5792 hospedou convites de grupo do Signal modificados em infraestrutura controlada pelo ator desenhada para parecer idêntica a um convite legítimo de grupo do Signal," disse o Google.
Outro agente de ameaça vinculado ao alvo do Signal é o UNC4221 (também conhecido como UAC-0185), que selecionou contas do Signal usadas por pessoal militar ucraniano por meio de um kit de phishing customizado projetado para imitar certos aspectos do aplicativo Kropyva usado pelas Forças Armadas da Ucrânia para orientação de artilharia.
Também é utilizado um payload de JavaScript leve denominado PINPOINT que pode coletar informações básicas do usuário e dados de geolocalização através de páginas de phishing.
Fora do UNC5792 e UNC4221, alguns dos outros coletivos adversários que têm focado no Signal são Sandworm (também conhecido como APT44), que utilizou um script de Windows Batch chamado WAVESIGN; Turla, que operou um script leve de PowerShell; e UNC1151, que utilizou a utilidade Robocopy para exfiltrar mensagens do Signal de um desktop infectado.
O Signal lançou novas atualizações para Android e iOS com recursos reforçados para proteger os usuários contra tais esforços de phishing.
Recomenda-se que os usuários atualizem para a versão mais recente para habilitar esses recursos.
A divulgação do Google vem pouco mais de um mês após a equipe de Inteligência de Ameaças da Microsoft atribuir ao ator de ameaça russo conhecido como Star Blizzard uma campanha de spear-phishing que explora um recurso semelhante de vinculação de dispositivos para sequestrar contas do WhatsApp.
Na semana passada, a Microsoft e a Volexity também revelaram que múltiplos agentes de ameaça russos estão aproveitando uma técnica chamada phishing de código de dispositivo para fazer login nas contas das vítimas, mirando-as por meio de aplicativos de mensagens como WhatsApp, Signal e Microsoft Teams.
"A ênfase operacional no Signal por múltiplos agentes de ameaça nos últimos meses serve como um importante aviso para a crescente ameaça às aplicações de mensagens seguras que certamente vai intensificar-se a curto prazo," disse o Google.
Como refletido nos esforços abrangentes para comprometer contas do Signal, essa ameaça às aplicações de mensagens seguras não está limitada a operações cibernéticas remotas, como phishing e entrega de malware, mas também inclui criticamente operações de acesso próximo onde um agente de ameaça pode obter acesso breve ao dispositivo desbloqueado de um alvo.
A divulgação também segue a descoberta de uma nova campanha de envenenamento de otimização de mecanismos de busca (SEO) que usa páginas de download falsas se passando por aplicações populares como Signal, LINE, Gmail e Google Translate para entregar executáveis com backdoor destinados a usuários que falam chinês.
"Os executáveis entregues através de páginas de download falsas seguem um padrão de execução consistente envolvendo extração de arquivos temporários, injeção de processo, modificações de segurança e comunicações de rede," disse Hunt.io, adicionando que as amostras exibem funcionalidade semelhante a infostealers associada a uma cepa de malware referida como MicroClip.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...