Los actores de amenazas afiliados a los Servicios de Inteligencia Rusos están llevando a cabo campañas de phishing para comprometer aplicaciones de mensajería comercial (CMA) como WhatsApp y Signal para tomar el control de cuentas pertenecientes a individuos con alto valor de inteligencia, dijeron el viernes la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI).
«La campaña está dirigida a personas de alto valor de inteligencia, incluidos funcionarios actuales y anteriores del gobierno de EE. UU., personal militar, figuras políticas y periodistas», dijo el director del FBI, Kash Patel, en una publicación en X. «A nivel mundial, este esfuerzo ha resultado en un acceso no autorizado a miles de cuentas individuales. Después de obtener acceso, los actores pueden ver mensajes y listas de contactos, enviar mensajes como víctimas y realizar phishing adicional desde una identidad confiable».
CISA y el FBI dijeron que la actividad ha resultado en el compromiso de miles de cuentas CMA individuales. Vale la pena señalar que los ataques están diseñados para ingresar a las cuentas objetivo y no explotan ninguna vulnerabilidad o debilidad de seguridad para romper las protecciones de cifrado de las plataformas.
Si bien las agencias no atribuyeron la actividad a un actor de amenazas específico, informes anteriores de Microsoft y Google Threat Intelligence Group han vinculado dichas campañas con múltiples grupos de amenazas alineados con Rusia rastreados como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185).
En una alerta similar, el Centro de Coordinación de Crisis Cibernética (C4), parte de la Agencia Nacional de Ciberseguridad de Francia (ANSSI), advirtió sobre un aumento en las campañas de ataque dirigidas a cuentas de mensajería instantánea asociadas con funcionarios gubernamentales, periodistas y líderes empresariales.
«Estos ataques, cuando tienen éxito, pueden permitir a actores maliciosos acceder a historiales de conversaciones, o incluso tomar el control de las cuentas de mensajería de sus víctimas y enviar mensajes haciéndose pasar por ellas», dijo C4.
El objetivo final de la campaña es permitir que los actores de amenazas obtengan acceso no autorizado a las cuentas de las víctimas, permitiéndoles ver mensajes y listas de contactos, enviar mensajes en su nombre e incluso realizar phishing secundario contra otros objetivos abusando de las relaciones de confianza.
Como alertaron recientemente las agencias de ciberseguridad de Alemania y los Países Bajos, el ataque implica que el adversario se haga pasar por «Signal Support» para acercarse a los objetivos e instarlos a hacer clic en un enlace (o alternativamente escanear un código QR) o proporcionar el PIN o el código de verificación. En ambos casos, el esquema de ingeniería social permite a los actores de amenazas obtener acceso a la cuenta CMA de la víctima.
Sin embargo, la campaña tiene dos resultados diferentes para la víctima según el método utilizado:
- Si la víctima opta por proporcionar el PIN o el código de verificación al actor de la amenaza, pierde el acceso a su cuenta, ya que el atacante la ha utilizado para recuperar la cuenta por su parte. Si bien el actor de la amenaza no puede acceder a mensajes anteriores, el método se puede utilizar para monitorear mensajes nuevos y enviar mensajes a otros haciéndose pasar por la víctima.
- Si la víctima termina haciendo clic en el enlace o escaneando el código QR, un dispositivo bajo el control del actor de la amenaza se vincula a la cuenta de la víctima, permitiéndole acceder a todos los mensajes, incluidos los enviados en el pasado. En este escenario, la víctima sigue teniendo acceso a la cuenta CMA a menos que se elimine explícitamente de la configuración de la aplicación.
Para protegerse mejor contra la amenaza, se recomienda a los usuarios que nunca compartan su código SMS o PIN de verificación con nadie, tengan cuidado al recibir mensajes inesperados de contactos desconocidos, verifiquen los enlaces antes de hacer clic en ellos y revisen periódicamente los dispositivos vinculados y eliminen aquellos que parezcan sospechosos.
«Estos ataques, como todo phishing, se basan en ingeniería social. Los atacantes se hacen pasar por contactos o servicios confiables (como el inexistente ‘Signal Support Bot’) para engañar a las víctimas para que entreguen sus credenciales de inicio de sesión u otra información», dijo Signal en una publicación en X a principios de este mes.
«Para ayudar a prevenir esto, recuerde que su código de verificación por SMS de Signal solo es necesario cuando se registra por primera vez en la aplicación Signal. También queremos enfatizar que el soporte de Signal *nunca* iniciará contacto a través de mensajes dentro de la aplicación, SMS o redes sociales para solicitar su código de verificación o PIN. Si alguien solicita algún código relacionado con Signal, es una estafa».