Los actores de amenazas afiliados a los Servicios de Inteligencia Rusos están llevando a promontorio campañas de phishing para comprometer aplicaciones de correo comercial (CMA) como WhatsApp y Signal para tomar el control de cuentas pertenecientes a individuos con stop valía de inteligencia, dijeron el viernes la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI).
“La campaña está dirigida a personas de stop valía de inteligencia, incluidos funcionarios actuales y anteriores del gobierno de EE. UU., personal marcial, figuras políticas y periodistas”, dijo el director del FBI, Kash Patel, en una publicación en X. “A nivel mundial, este esfuerzo ha resultado en un entrada no facultado a miles de cuentas individuales. Posteriormente de obtener entrada, los actores pueden ver mensajes y listas de contactos, dirigir mensajes como víctimas y realizar phishing adicional desde una identidad confiable”.
CISA y el FBI dijeron que la actividad ha resultado en el compromiso de miles de cuentas CMA individuales. Vale la pena señalar que los ataques están diseñados para ingresar a las cuentas objetivo y no explotan ninguna vulnerabilidad o amor de seguridad para romper las protecciones de criptográfico de las plataformas.
Si proporcionadamente las agencias no atribuyeron la actividad a un actor de amenazas específico, informes anteriores de Microsoft y Google Threat Intelligence Group han vinculado dichas campañas con múltiples grupos de amenazas alineados con Rusia rastreados como Star Blizzard, UNC5792 (asimismo conocido como UAC-0195) y UNC4221 (asimismo conocido como UAC-0185).
En una alerta similar, el Centro de Coordinación de Crisis Cibernética (C4), parte de la Agencia Doméstico de Ciberseguridad de Francia (ANSSI), advirtió sobre un aumento en las campañas de ataque dirigidas a cuentas de correo instantánea asociadas con funcionarios gubernamentales, periodistas y líderes empresariales.
“Estos ataques, cuando tienen éxito, pueden permitir a actores maliciosos lograr a historiales de conversaciones, o incluso tomar el control de las cuentas de correo de sus víctimas y dirigir mensajes haciéndose advenir por ellas”, dijo C4.
El objetivo final de la campaña es permitir que los actores de amenazas obtengan entrada no facultado a las cuentas de las víctimas, permitiéndoles ver mensajes y listas de contactos, dirigir mensajes en su nombre e incluso realizar phishing secundario contra otros objetivos abusando de las relaciones de confianza.
Como alertaron recientemente las agencias de ciberseguridad de Alemania y los Países Bajos, el ataque implica que el adversario se haga advenir por “Signal Support” para acercarse a los objetivos e instarlos a hacer clic en un enlace (o alternativamente escanear un código QR) o proporcionar el PIN o el código de demostración. En uno y otro casos, el esquema de ingeniería social permite a los actores de amenazas obtener entrada a la cuenta CMA de la víctima.
Sin incautación, la campaña tiene dos resultados diferentes para la víctima según el método utilizado:
- Si la víctima opta por proporcionar el PIN o el código de demostración al actor de la amenaza, pierde el entrada a su cuenta, ya que el atacante la ha utilizado para recuperar la cuenta por su parte. Si proporcionadamente el actor de la amenaza no puede lograr a mensajes anteriores, el método se puede utilizar para monitorear mensajes nuevos y dirigir mensajes a otros haciéndose advenir por la víctima.
- Si la víctima termina haciendo clic en el enlace o escaneando el código QR, un dispositivo bajo el control del actor de la amenaza se vincula a la cuenta de la víctima, permitiéndole lograr a todos los mensajes, incluidos los enviados en el pasado. En este marco, la víctima sigue teniendo entrada a la cuenta CMA a menos que se elimine explícitamente de la configuración de la aplicación.
Para defenderse mejor contra la amenaza, se recomienda a los usuarios que nunca compartan su código SMS o PIN de demostración con nadie, tengan cuidado al cobrar mensajes inesperados de contactos desconocidos, verifiquen los enlaces antaño de hacer clic en ellos y revisen periódicamente los dispositivos vinculados y eliminen aquellos que parezcan sospechosos.
“Estos ataques, como todo phishing, se basan en ingeniería social. Los atacantes se hacen advenir por contactos o servicios confiables (como el inexistente ‘Signal Support Bot’) para engañar a las víctimas para que entreguen sus credenciales de inicio de sesión u otra información”, dijo Signal en una publicación en X a principios de este mes.
“Para ayudar a predisponer esto, recuerde que su código de demostración por SMS de Signal solo es necesario cuando se registra por primera vez en la aplicación Signal. Todavía queremos acentuar que el soporte de Signal *nunca* iniciará contacto a través de mensajes interiormente de la aplicación, SMS o redes sociales para solicitar su código de demostración o PIN. Si cierto solicita algún código relacionado con Signal, es una estafa”.
