Se han observado múltiples actores de amenaza alineados en Rusia dirigidos a individuos de interés a través de la señal de la aplicación de transporte centrada en la privacidad para obtener llegada no competente a sus cuentas.
“La técnica más novedosa y ampliamente utilizada que sustenta los intentos alineados en ruso para comprometer las cuentas de señales es el injusticia de la característica legítima de ‘dispositivos vinculados’ de la aplicación que permite que la señal se use en múltiples dispositivos simultáneamente”, dijo el Colección de Inteligencia de Amenazos de Google (GTIG). en un noticia.
En los ataques vistos por los equipos de inteligencia de amenazas del coloso tecnológico, los actores de amenaza, incluido uno que está rastreando como UNC5792, han recurrido a códigos QR maliciosos que, cuando escanean, vincularán la cuenta de una víctima con una instancia de señal controlada por el actor.
Como resultado, los mensajes futuros se entregan sincrónicamente tanto a la víctima como al actor de amenazas en tiempo existente, otorgando así a los actores de amenaza una forma persistente de escuchar las conversaciones de la víctima. Google dijo que UAC-0195 se superpone parcialmente con un colección de piratería conocido como UAC-0195.
Se sabe que estos códigos QR se disfrazan de invitaciones grupales, alertas de seguridad o instrucciones legítimas de emparejamiento de dispositivos desde el sitio web de la señal. Alternativamente, se ha contrario que los códigos QR de reticulación maliciosos están integrados en páginas de phishing que pretenden ser aplicaciones especializadas utilizadas por el ejército ucraniano.
“UNC5792 ha alojado invitaciones modificadas de grupos de señales sobre infraestructura controlada por actores diseñada para parecer idéntica a una invitación legítima del colección de señales”, dijo Google.
Otro actor de amenaza vinculado a la orientación de la señal es UNC4221 (incluso conocido como UAC-0185), que tiene cuentas de señalización de señal utilizadas por el personal marcial ucraniano mediante un kit de phishing personalizado diseñado para imitar ciertos aspectos de la aplicación Kropyva utilizada por las fuerzas armadas por las fuerzas armadas. de Ucrania para folleto de artillería.
Todavía se usa una carga útil de JavaScript ligera doblada Pinpoint que puede compilar información básica del legatario y datos de geolocalización a través de páginas de phishing.
Fuera de UNC5792 y UNC4221, algunos de los otros colectivos adversos que han entrenado sus miras en la señal son Sandworm (incluso conocido como APT44), que ha utilizado un script por lotes de Windows llamado Wavesign; Turla, que ha operado un banderín sutil PowerShell; y UNC1151, que ha puesto para usar la utilidad de robocopy para exfiltrar los mensajes de señal de un escritorio infectado.
La divulgación de Google se produce poco más de un mes luego de que el equipo de inteligencia de amenazas de Microsoft atribuyó al actor de amenaza rusa conocido como Star Blizzard a una campaña de phishing de aguijada que aprovecha una característica similar de reticulación de dispositivos para secuestrar cuentas de WhatsApp.
La semana pasada, Microsoft y Volexity incluso revelaron que múltiples actores de amenazas rusas están aprovechando una técnica emplazamiento Phishing de código de dispositivo para iniciar sesión en las cuentas de las víctimas dirigiéndolas a través de aplicaciones de transporte como WhatsApp, Signal y Microsoft.
“El empaque activo en la señal de los actores de múltiples amenazas en los últimos meses sirve como una advertencia importante para la creciente amenaza de afirmar aplicaciones de transporte que seguramente se intensificará a corto plazo”, dijo Google.
“Como se refleja en los esfuerzos de gran talento para comprometer las cuentas de señales, esta amenaza para afirmar aplicaciones de transporte no se limita a operaciones cibernéticas remotas, como phishing y entrega de malware, pero incluso incluye de forma crítica las operaciones de llegada cercano donde un actor de amenaza puede afirmar un llegada breve a un Dispositivo desbloqueado de Target “.
La divulgación incluso sigue el descubrimiento de una nueva campaña de envenenamiento de optimización de motores de búsqueda (SEO) que usa páginas de descarga falsas que se hacen acaecer por aplicaciones populares como Signal, Line, Gmail y Google Translate para entregar ejecutables con backdopelados dirigidos a usuarios de deje china.
“Los ejecutables entregados a través de páginas de descarga falsas siguen un patrón de ejecución consistente que implica extirpación temporal de archivos, inyección de procesos, modificaciones de seguridad y comunicaciones de red”, dijo Hunt.io, y agregó que las muestras exhiben una funcionalidad similar a un infostador asociado con una cepa de malware que se conoce como Microclip.
