Diversos hackers alinhados à Rússia foram identificados explorando o aplicativo de mensagens Signal, conhecido por seu foco em privacidade, para obter acesso não autorizado a contas de usuários de interesse.
"O método mais inovador e amplamente utilizado por esses grupos para comprometer contas no Signal é o abuso da função legítima de ‘dispositivos vinculados’, que permite o uso do aplicativo em vários dispositivos simultaneamente", revelou o Google Threat Intelligence Group (GTIG) em um relatório.
Nos ataques observados pelas equipes de inteligência do Google, hackers, incluindo um rastreado como UNC5792, utilizaram QR codes maliciosos que, ao serem escaneados, vinculam a conta da vítima a uma instância do Signal controlada pelo invasor. Isso possibilita que todas as mensagens futuras sejam entregues tanto ao usuário legítimo quanto ao hacker em tempo real, garantindo um meio persistente de espionagem.
Além disso, a Google identificou que o grupo UAC-0195, parcialmente sobreposto a outro grupo hacker conhecido pelo mesmo nome, tem utilizado esses QR codes maliciosos disfarçados de convites para grupos, alertas de segurança ou instruções falsas de pareamento de dispositivos supostamente fornecidas pelo site do Signal. Algumas dessas páginas maliciosas foram incorporadas em sites de phishing que se passam por aplicações especializadas usadas pelo exército ucraniano.
O grupo UNC5792, por exemplo, hospedou convites modificados para grupos do Signal em infraestruturas controladas por hackers, projetadas para se parecerem com convites legítimos. Outro grupo identificado foi o UNC4221 (também conhecido como UAC-0185), que direcionou seus ataques a contas do Signal utilizadas por militares ucranianos. Esse grupo utilizou um kit de phishing personalizado que imita aspectos da aplicação Kropyva, usada pelas Forças Armadas da Ucrânia para orientação de artilharia.
Além disso, hackers recorreram a um payload leve em JavaScript chamado PINPOINT, capaz de coletar informações básicas do usuário e dados de geolocalização por meio de páginas de phishing.
Fora os grupos UNC5792 e UNC4221, outros hackers que têm explorado o Signal incluem o Sandworm (APT44), que utilizou um script Batch do Windows chamado WAVESIGN; o grupo Turla, que empregou um script PowerShell leve; e o UNC1151, que se aproveitou do utilitário Robocopy para extrair mensagens do Signal de computadores infectados.
A revelação do Google surge pouco mais de um mês após a equipe de inteligência da Microsoft atribuir ao grupo hacker Star Blizzard uma campanha de spear-phishing que utilizava um recurso semelhante de vinculação de dispositivos para sequestrar contas do WhatsApp.
Na última semana, a Microsoft e a Volexity também relataram que múltiplos grupos hackers russos estão explorando uma técnica chamada device code phishing para invadir contas de vítimas por meio de aplicativos de mensagens como WhatsApp, Signal e Microsoft Teams.
"A ênfase operacional no Signal por múltiplos grupos hackers nos últimos meses serve como um alerta importante sobre a crescente ameaça às aplicações de mensagens seguras, que tende a se intensificar no curto prazo", alertou o Google.
"Como demonstrado pelos diversos esforços para comprometer contas do Signal, essa ameaça não se limita a operações cibernéticas remotas, como phishing e distribuição de malware, mas também inclui ataques de proximidade, onde o hacker consegue acesso temporário ao dispositivo desbloqueado da vítima."
A revelação também ocorre paralelamente à descoberta de uma nova campanha de envenenamento por otimização de mecanismos de busca (SEO poisoning), que utiliza páginas falsas de download para enganar usuários e instalar executáveis maliciosos. Essas páginas simulam aplicativos populares como Signal, LINE, Gmail e Google Translate para distribuir arquivos infectados com um malware conhecido como MicroClip, projetado para roubo de informações.
Via - THN
Comments