Câteva grupuri de actori statali din Rusia au lansat campanii phishing menite să compromită conturi pentru serviciul de mesagerie Signal prin exploatarea funcției legitime de conectare a mai multor dispozitive.
Utilizatorii pot adăuga un nou dispozitiv la contul lor prin scanarea unui cod QR unic generat de aplicație. Astfel, mesajele și istoricul conversațiilor devin disponibile pe mai multe dispozitive.
Prin crearea de coduri QR malițioase, atacatorii păcălesc potențialele victime să le scaneze pentru a lega contul Signal la un dispozitiv controlat de hackeri, permițând monitorizarea conversațiilor fără a compromite complet telefonul țintă.
În campaniile de phishing observate de Google Threat Intelligence Group (GTIG) – echipa de monitorizare a amenințărilor informatice, atacatorii maschează aceste coduri ca resurse legitime sau ca instrucțiuni oficiale de pe site-ul Signal.
Atacuri rusești bazate pe coduri QR malițioase
Printre exemplele descrise se numără invitații false în grupuri sau instrucțiuni ce le imită pe cele autentice pentru conectarea de noi dispozitive.
În cazul atacurilor țintite, atacatorii și-au adaptat metodele în funcție de victima vizată și au adăugat codurile QR malițioase în pagini de phishing concepute pentru a prezenta interes, cum ar fi „aplicații specializate utilizate de țintele finale ale operațiunii”.
Sandworm, cunoscut și sub numele de Seashell Blizzard/APT44, este un grup de hackeri ruși notoriu pentru utilizarea tacticilor sofisticate în atacurile cibernetice. Aceștia au folosit coduri QR malițioase pentru a accesa conturile Signal de pe dispozitive capturate pe câmpul de luptă.
O altă grupare rusească, identificată de Google ca UNC5792, a modificat invitații legitime pentru grupuri Signal pentru a redirecționa către URL-uri ce leagă contul de Signal vizat de dispozitivul atacatorului.
UNC5792 a modificat în invitațiile legitime codul JavaScript pentru redirectare astfel încât să includă identificatorul uniform de resurse (URI – Uniform Resource Identifier) pentru adăugarea în cont a unui nou dispozitiv în loc de cel pentru înscrierea în grup.
GTIG a prezentat cazul unui alt atacator rus, identificat ca UNC4221, care a folosit un kit de phishing special creat pentru a viza personal militar ucrainean.
„Grupul operează un kit de phishing Signal personalizat, conceput pentru a imita componentele aplicației Kropyva utilizate de Forțele Armate ale Ucrainei pentru ghidarea artileriei,” spun experții.
Recomandări pentru protecția utilizatorilor
GTIG atrage atenția că aplicația Signal nu e singura vizată de atacatori în ultimele luni și că WhatsApp și Telegram sunt de asemenea vizate.
Acest tip de atacuri poate trece neobservat pe termen lung deoarece nu există soluții tehnice care să poată monitoriza adăugarea de dispozitive noi la conturi de servicii de mesagerie.
Printre măsurile de protecție propuse, se numără activarea autentificării cu doi factori, actualizarea aplicației la cea mai recentă versiune, precum și protejarea accesului la dispozitiv prin folosirea unei parole suficient de lungă și de complexă.
Google recomandă și revizuirea dispozitivelor conectate la contul tău Signal. Acest lucru se poate face prin accesarea setărilor aplicației și navigarea către secțiunea Dispozitive conectate.
