Los actores de amenaza rusos han lanzado campañas de phishing que explotan la función legítima de los “dispositivos vinculados” en la aplicación de mensajes de señal para obtener acceso no autorizado a cuentas de intereses.
El año pasado, los investigadores observaron operaciones de phishing asignadas a grupos rusos alineados por el estado que utilizó varios métodos para alentar a los objetivos a vincular su cuenta de señal a un dispositivo controlado por el atacante.
Phishing vinculado al dispositivo
En un informe de hoy, Google Threat Intelligence Group (GTIG) dice que el enlace característico del dispositivo de señal de señal de abuso es la “técnica más nueva y más utilizada que subyace a los intentos alineados por ruso para comprometer las cuentas de señales”.
Las partes interesadas de la amenaza han explotado la funcionalidad al crear códigos QR maliciosos y engañar a las posibles víctimas para escanearlos para permitir que los mensajes de señal se sincronizaran con el dispositivo del atacante.
Este es un consejo simple que no requiere un compromiso completo del dispositivo de destino para monitorear sus conversaciones seguras.
Los investigadores de GTIG observaron este método adaptado por el tipo de objetivo. En una campaña más amplia, el atacante enmascararía el código malicioso como un recurso de aplicación legítimo (por ejemplo, el grupo de señales invita) o el aparato del aparato del sitio web de Signal Legitimate.
Para los ataques específicos, el actor de amenaza agregaría los códigos de QR maliciosos a las páginas de phishing diseñadas para interesar a la víctima potencial, como “aplicaciones especializadas utilizadas por los objetivos finales de la operación”.
Además, GTIG notó que el infame grupo ruso de polas de arena de piratas (Blizzard Seashell / APT44) utilizó códigos QR maliciosos para acceder a las cuentas de señal en los dispositivos capturados en el campo de batalla por fuerzas militares desplegadas.
Otro consejo basado en la función de enlace del dispositivo que GTIG observó en la supuesta actividad de espionaje ruso modifica una página de invitación grupal legítima para redirigir a una URL maliciosa que vincula la cuenta de la señal del objetivo objetivo con un dispositivo controlado por el atacante.
Este método se observó con un grupo de actividad interna bajo el nombre de UNC5792, que tiene similitudes con un actor de que el equipo de intervención de TI de Ucrania (ciertas) llama como UAC-0195cuya actividad estaba vinculada a intentos de comprometer las cuentas de WhatsApp.
“En estas operaciones, UNC5792 ha alojado invitaciones grupales de señales modificadas en una infraestructura controlada por el actor diseñado para parecer idéntico a una invitación legítima de los grupos de señales” – Grupo de inteligencia de amenazas de Google
Las falsas invitaciones tenían el código JavaScript de redirección legítima reemplazado por un bloque malicioso que incluía la señal de señal (identificador de recursos uniformes) para vincular un nuevo dispositivo (“Sgnl: // LinkDevice UUID”) en lugar de unirse al grupo ( “Sgnl: //signal.group/”).
Cuando el objetivo aceptó la invitación para unirse al grupo, conectaría su cuenta de señal a un dispositivo controlado por el atacante.
Kit de phishing personalizado
Otro actor de amenaza vinculado a Rusia, que GTIG sigue como UNC4221 y seguro como UAC-0185Utilizó un kit de phishing especialmente creado para apuntar a las cuentas de señalización del personal militar ucraniano.
El kit de phishing imita el software Kropyva, que las fuerzas armadas de Ucrania usan para asesoramiento de artillería, el mapeo de minas o la ubicación de los soldados.
El truco de unión de electrodomésticos en estos ataques está enmascarado por una infraestructura secundaria (confirmar la señal[.]sitio) Creado para usurpar la identidad de las instrucciones de señal legítimas para la operación.
Los atacantes también utilizaron el phishing sobre el tema de Kropropolyva para distribuir códigos QR que unan dispositivos maliciosos, y operaciones más antiguas atraídas por alertas de seguridad de señal falsas alojadas en campos que imitan el servicio de mensajería.
GTIG dice que observó los esfuerzos rusos y bielorrusos para buscar y recopilar mensajes de los archivos de base de datos de la aplicación de señal en Android y Windows utilizando el script de lote de onda, de la infame ciselier de malware, los scripts de PowerShell y la utilidad de la línea de comandos RoboCopy.
Los investigadores señalan que Signal no es la única aplicación de mensajería que los actores rusos rusos han mostrado interés en los últimos meses y han destacado la campaña de ColdRiver que se dirigió a las cuentas de WhatsApp de diplomáticos de alto valor.
Este tipo de compromiso del enlace de dispositivos es difícil de identificar y proteger, porque no existe una solución técnica para monitorear la amenaza de dispositivos recién vinculados, tenga en cuenta los investigadores.
Dicen que “cuando tiene éxito, existe un alto riesgo de que un compromiso pueda pasar desapercibido durante largos períodos”.
Es aconsejable que los usuarios de señales actualicen la última versión de la aplicación, que incluye protecciones mejoradas contra los ataques de phishing que Google ha observado.
Las recomendaciones adicionales incluyen la activación del bloqueo de pantalla en dispositivos móviles con una contraseña larga y compleja, verificación regular de la lista de dispositivos vinculados, ejercer precaución al interactuar con los códigos QR y QR y la activación de la autenticación de dos factores.