Se han observado múltiples actores de amenaza alineados en Rusia dirigidos a individuos de interés a través de la señal de la aplicación de mensajería centrada en la privacidad para obtener acceso no autorizado a sus cuentas.
«La técnica más novedosa y ampliamente utilizada que sustenta los intentos alineados en ruso para comprometer las cuentas de señales es el abuso de la característica legítima de ‘dispositivos vinculados’ de la aplicación que permite que la señal se use en múltiples dispositivos simultáneamente», dijo el Grupo de Inteligencia de Amenazos de Google (GTIG). en un informe.
En los ataques vistos por los equipos de inteligencia de amenazas del gigante tecnológico, los actores de amenaza, incluido uno que está rastreando como UNC5792, han recurrido a códigos QR maliciosos que, cuando escanean, vincularán la cuenta de una víctima con una instancia de señal controlada por el actor.
Como resultado, los mensajes futuros se entregan sincrónicamente tanto a la víctima como al actor de amenazas en tiempo real, otorgando así a los actores de amenaza una forma persistente de escuchar las conversaciones de la víctima. Google dijo que UAC-0195 se superpone parcialmente con un grupo de piratería conocido como UAC-0195.
Se sabe que estos códigos QR se disfrazan de invitaciones grupales, alertas de seguridad o instrucciones legítimas de emparejamiento de dispositivos desde el sitio web de la señal. Alternativamente, se ha encontrado que los códigos QR de reticulación maliciosos están integrados en páginas de phishing que pretenden ser aplicaciones especializadas utilizadas por el ejército ucraniano.
«UNC5792 ha alojado invitaciones modificadas de grupos de señales sobre infraestructura controlada por actores diseñada para parecer idéntica a una invitación legítima del grupo de señales», dijo Google.
Otro actor de amenaza vinculado a la orientación de la señal es UNC4221 (también conocido como UAC-0185), que tiene cuentas de señalización de señal utilizadas por el personal militar ucraniano mediante un kit de phishing personalizado diseñado para imitar ciertos aspectos de la aplicación Kropyva utilizada por las fuerzas armadas por las fuerzas armadas. de Ucrania para guía de artillería.
También se usa una carga útil de JavaScript ligera doblada Pinpoint que puede recopilar información básica del usuario y datos de geolocalización a través de páginas de phishing.
Fuera de UNC5792 y UNC4221, algunos de los otros colectivos adversos que han entrenado sus miras en la señal son Sandworm (también conocido como APT44), que ha utilizado un script por lotes de Windows llamado Wavesign; Turla, que ha operado un guión liviano PowerShell; y UNC1151, que ha puesto para usar la utilidad de robocopy para exfiltrar los mensajes de señal de un escritorio infectado.
La divulgación de Google se produce poco más de un mes después de que el equipo de inteligencia de amenazas de Microsoft atribuyó al actor de amenaza rusa conocido como Star Blizzard a una campaña de phishing de lanza que aprovecha una característica similar de reticulación de dispositivos para secuestrar cuentas de WhatsApp.
La semana pasada, Microsoft y Volexity también revelaron que múltiples actores de amenazas rusas están aprovechando una técnica llamada Phishing de código de dispositivo para iniciar sesión en las cuentas de las víctimas dirigiéndolas a través de aplicaciones de mensajería como WhatsApp, Signal y Microsoft.
«El énfasis operativo en la señal de los actores de múltiples amenazas en los últimos meses sirve como una advertencia importante para la creciente amenaza de asegurar aplicaciones de mensajería que seguramente se intensificará a corto plazo», dijo Google.
«Como se refleja en los esfuerzos de gran alcance para comprometer las cuentas de señales, esta amenaza para asegurar aplicaciones de mensajería no se limita a operaciones cibernéticas remotas, como phishing y entrega de malware, pero también incluye de manera crítica las operaciones de acceso cercano donde un actor de amenaza puede asegurar un acceso breve a un Dispositivo desbloqueado de Target «.
La divulgación también sigue el descubrimiento de una nueva campaña de envenenamiento de optimización de motores de búsqueda (SEO) que usa páginas de descarga falsas que se hacen pasar por aplicaciones populares como Signal, Line, Gmail y Google Translate para entregar ejecutables con backdopelados dirigidos a usuarios de habla china.
«Los ejecutables entregados a través de páginas de descarga falsas siguen un patrón de ejecución consistente que implica extracción temporal de archivos, inyección de procesos, modificaciones de seguridad y comunicaciones de red», dijo Hunt.io, y agregó que las muestras exhiben una funcionalidad similar a un infostador asociado con una cepa de malware que se conoce como Microclip.