Investigadores de Google Threat Intelligence Group descubrieron que las campañas explotan la función legítima “Dispositivos vinculados” en la aplicación de mensajería Signal para obtener acceso no autorizado a cuentas de interés.
Investigadores de Google Threat Intelligence Group (GTIG) han identificado una serie de campañas de phishing perpetradas por actores de amenazas rusos del grupo UNC5792, quienes explotan la función de “Dispositivos vinculados” de Signal.
El objetivo del ciberataque es obtener acceso no autorizado a cuentas específicas, sin necesidad de comprometer por completo el dispositivo de la víctima.
Según el informe publicado por GTIG, la estrategia más utilizada consiste en generar códigos QR maliciosos y engañar a los usuarios para que los escaneen, permitiendo así la sincronización de sus mensajes de Signal con un dispositivo controlado por los atacantes.
En algunos casos, los actores maliciosos disfrazaban los códigos como invitaciones legítimas a grupos de Signal o como instrucciones de emparejamiento de dispositivos desde el sitio web oficial, mientras que, en los ataques dirigidos, los códigos QR maliciosos se incorporaban en páginas de phishing diseñadas para atraer a las víctimas, como aplicaciones especializadas de su interés.
Uno de los métodos más sofisticados encontrados por los investigadores consiste en modificar páginas de invitación a grupos legítimos para redirigirlas a una URL maliciosa, lo que permite la vinculación de la cuenta de la víctima con un dispositivo en poder del atacante. “En estas operaciones, UNC5792 ha alojado invitaciones a grupos de Signal modificadas en una infraestructura controlada por el actor, diseñadas para parecer idénticas a una invitación a un grupo de Signal legítima”, señaló GTIG.
El informe también señala que el infame grupo Sandworm (también conocido como Seashell Blizzard o APT44) utilizó esta técnica para acceder a cuentas de Signal en dispositivos capturados en el campo de batalla por fuerzas militares rusas en el conflicto que mantienen con Ucrania desde hace tres años.
GTIG también identificó a otro grupo, identificado como UAC-0185, el cual empleó un kit de phishing diseñado específicamente para atacar al personal militar ucraniano. Esta estrategia se hacía pasar por el software Kropyva, una herramienta utilizada por las Fuerzas Armadas de Ucrania para guiar la artillería y mapear campos minados.
Los atacantes alojaron falsas alertas de seguridad de Signal en dominios fraudulentos y usaron infraestructura secundaria, como signal-confirm[.]site, para engañar a las víctimas. Además, tanto hackers rusos como bielorrusos fueron observados utilizando herramientas como el script WAVESIGN, el malware Infamous Chisel, scripts de PowerShell y la utilidad Robocopy para extraer mensajes de los archivos de base de datos de Signal en dispositivos Android y Windows.
Los investigadores advirtieron en su informe que la naturaleza de esta vulnerabilidad hace que sea difícil de identificar y mitigar. Además, destacaron que Signal no es la única aplicación de mensajería en la mira de los hackers rusos. Recientemente, se identificó la campaña Coldriver, que apuntó a cuentas de WhatsApp de diplomáticos de alto perfil.
Los especialistas recomendaron que, para protegerse de estos ataques, los usuarios de Signal deben actualizar a la última versión de la aplicación, que incorpora medidas de protección contra el phishing, además de revisar regularmente la lista de dispositivos vinculados a su cuenta, habilitar la autenticación de doble factor, configurar un bloqueo de pantalla en el dispositivo con una contraseña segura, tener mucha precaución al escanear códigos QR y no aceptar invitaciones sospechosas.