A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) está alertando sobre ataques altamente direcionados que utilizam contas comprometidas do Signal para enviar malware a funcionários de empresas da indústria de defesa e membros das forças armadas do país.
O boletim menciona que os ataques começaram neste mês, com mensagens do Signal contendo arquivos que se passam por relatórios de reuniões.
Com algumas dessas mensagens sendo enviadas de contatos já conhecidos pelos alvos, as chances de eles abrirem os arquivos são maiores.
O arquivo contém um PDF e um arquivo executável, o primeiro atuando como isca para as vítimas abrirem e acionarem o lançamento do segundo.
O executável é classificado como o cryptor/loader DarkTortilla, que, ao ser lançado, descriptografa e executa o remote access trojan Dark Crystal RAT (DCRAT).
O CERT-UA afirma que a atividade foi rastreada sob o código UAC-0200, um cluster de ameaças que emprega o Signal em ataques similares desde junho de 2024.
No entanto, nos ataques recentes, as iscas de phishing foram atualizadas para refletir tópicos vitais atuais na Ucrânia, especialmente aqueles relacionados ao setor militar.
"A partir de fevereiro de 2025, as mensagens isca mudaram seu foco para tópicos relacionados a UAVs, sistemas de guerra eletrônica e outras tecnologias militares", explica o CERT-UA em seu boletim mais recente.
Em fevereiro de 2025, o Google Threat Intelligence Group (GTIG) relatou que hackers russos estavam abusando do recurso legítimo "Linked Devices" no Signal para obter acesso não autorizado a contas de interesse.
Usuários do Signal que se consideram potenciais alvos de espionagem e ataques de spear-phishing devem desativar os downloads automáticos de anexos e ser cautelosos com todas as mensagens, especialmente aquelas que contêm arquivos.
Além disso, recomenda-se que a lista de dispositivos vinculados no Signal seja verificada regularmente para evitar se tornar um proxy para ataques.
Por fim, os usuários do Signal devem atualizar seus aplicativos de mensagens para a versão mais recente em todas as plataformas e habilitar a autenticação de dois fatores para proteção adicional da conta.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...