(https://i.imgur.com/X1cXSSB.png)
Investigadores de seguridad han detectado que actores de amenazas alineados con Rusia están utilizando la aplicación de mensajería segura Signal para obtener acceso no autorizado a cuentas de víctimas. Su método principal consiste en explotar la función legítima de "dispositivos vinculados", lo que les permite sincronizar mensajes en múltiples dispositivos.
Códigos QR maliciosos: la nueva técnica de espionaje en SignalSegún el Grupo de Inteligencia de Amenazas de Google (GTIG), los atacantes, incluyendo al grupo rastreado como UNC5792, han desplegado códigos QR maliciosos que, al ser escaneados, vinculan la cuenta de una víctima a un dispositivo controlado por los atacantes. Esto permite la intercepción en tiempo real de conversaciones privadas.
Estos códigos QR fraudulentos han sido disfrazados como invitaciones de grupo falsas, alertas de seguridad o instrucciones de emparejamiento de la página oficial de Signal. Además, han sido detectados en páginas de phishing diseñadas para engañar al ejército ucraniano, haciéndose pasar por aplicaciones militares legítimas.
Actores de amenazas implicados en la explotación de SignalAdemás de UNC5792, otros actores de amenazas identificados incluyen:
- UNC4221 (UAC-0185): Usa un kit de phishing que imita la aplicación militar Kropyva para atacar cuentas de Signal.
- Sandworm (APT44): Emplea un script malicioso de Windows Batch llamado WAVESIGN.
- Turla: Opera un script ligero en PowerShell.
- UNC1151: Utiliza Robocopy para exfiltrar mensajes de Signal desde equipos infectados.
Los atacantes también han desplegado una carga útil de JavaScript denominada PINPOINT, capaz de recopilar datos de geolocalización y credenciales a través de páginas de phishing.
Creciente amenaza a la seguridad en apps de mensajeríaLa explotación de Signal por parte de múltiples grupos rusos coincide con campañas de spear-phishing en WhatsApp, identificadas por Microsoft Threat Intelligence. También se han detectado ataques de phishing de código de dispositivo en aplicaciones como WhatsApp, Signal y Microsoft Teams, permitiendo a los atacantes secuestrar cuentas de usuarios.
Según Google, la intensificación de estos ataques demuestra que la seguridad en aplicaciones de mensajería cifrada está en riesgo, no solo por métodos remotos como phishing o malware, sino también por técnicas avanzadas de acceso físico a dispositivos.
Campañas de SEO envenenado para distribuir malwareAdemás de los ataques en Signal, se ha descubierto una nueva campaña de envenenamiento de SEO. Mediante páginas de descarga falsas, los atacantes distribuyen malware disfrazado de aplicaciones populares como Signal, LINE, Gmail y Google Translate, dirigidas a usuarios de habla china.
Según Hunt.io, estas descargas falsas ejecutan código malicioso que incluye inyección de procesos, modificaciones de seguridad y comunicaciones de red, con un comportamiento similar al malware MicroClip, especializado en el robo de información.
En conclusión los ataques contra Signal y otras aplicaciones de mensajería privada continúan en aumento. La explotación de la función de dispositivos vinculados, junto con campañas de phishing y SEO envenenado, demuestra la evolución de las tácticas de ciberespionaje. Para mitigar riesgos, los usuarios deben verificar la autenticidad de los códigos QR, evitar descargar aplicaciones desde fuentes no oficiales y reforzar la seguridad de sus cuentas con autenticación en dos pasos.
Fuente: https://thehackernews.com