Rosyjscy cyberprzestępcy wykorzystują funkcję „powiązanych urządzeń” w Signal do ataków phishingowych

prywatnie.eu 1 miesiąc temu

prywatnie.eu - prywatność w sieci

Rosyjskie grupy cyberprzestępcze, takie jak Sandworm i Turla, atakują aplikację Signal, aby szpiegować ukraińskich żołnierzy i inne osoby interesujące rosyjskie służby wywiadowcze.

Hakerzy wykorzystują funkcję „powiązanych urządzeń”, która pozwala użytkownikom łączyć konto Signal z wieloma urządzeniami dzięki kodu QR. jeżeli atak się powiedzie, wiadomości ofiary są jednocześnie dostarczane do niej i do cyberprzestępców, bez konieczności przejmowania całego urządzenia – podaje Google Threat Intelligence Group (GTIG).

Ataki te, napędzane wojną w Ukrainie, mogą się nasilać i być stosowane także wobec innych aplikacji szyfrowanych, takich jak WhatsApp i Telegram.

Jak działa atak?

Grupa UNC5792 tworzyła fałszywe zaproszenia do grup Signal, które wyglądały identycznie jak prawdziwe, ale zawierały zmodyfikowany kod. Po kliknięciu w link ofiara nieświadomie łączyła swoje konto Signal z urządzeniem kontrolowanym przez hakerów.

Inny aktor, UNC4221, stosował podobną metodę, podszywając się pod zaufanych kontaktów i zbierając dane użytkowników dzięki lekkiego skryptu JavaScript.

Ponadto Sandworm umożliwiał rosyjskiej armii przejmowanie kont Signal z przechwyconych na polu walki urządzeń. Inne grupy, m.in. Infamous Chisel i UNC1151, atakowały urządzenia z Androidem i Windows, próbując wykraść bazy danych Signal.

Sprawdź: Jak rozpoznać fałszywe informacje i nie dać się oszukać?

GTIG zauważyło także, iż Sandworm stosuje narzędzie WAVESIGN, które cyklicznie pobiera wiadomości z bazy Signal i przesyła je do kontrolowanej przez hakerów infrastruktury.

Idź do oryginalnego materiału