Više prijetnji povezanih s Rusijom uočeno je kako cilja pojedince od interesa putem privatne aplikacije za razmjenu poruka Signal kako bi stekli neovlašteni pristup njihovim nalozima.
“Najinovativnija i najčešće korištena tehnika kojom ruske prijetnje pokušavaju kompromitovati Signal naloge jeste iskorištavanje legitimne funkcije ‘povezanih uređaja’, koja omogućava korištenje Signala na više uređaja istovremeno,” navodi se u izvještaju Google Threat Intelligence Group (GTIG).
U napadima koje su otkrili Google-ovi timovi za cyber sigurnost, prijetnje, uključujući onu označenu kao UNC5792, koristile su maliciozne QR kodove. Kada bi žrtva skenirala takav kod, njen nalog bi bio povezan sa Signal instancom kojom upravlja napadač.
Kao rezultat toga, sve buduće poruke bile bi istovremeno dostavljene i žrtvi i napadaču, omogućavajući im kontinuirano prisluškivanje razgovora u realnom vremenu. Google je također naveo da grupa UAC-0195 djelomično preklapa s poznatom hakerskom grupom UAC-0195.
Ovi QR kodovi često se maskiraju kao pozivnice za grupe, sigurnosna upozorenja ili legitimne upute za povezivanje uređaja sa Signalove web stranice. Alternativno, mogu biti ugrađeni u phishing stranice koje se lažno predstavljaju kao specijalizovane aplikacije koje koristi ukrajinska vojska.
“UNC5792 je hostovao izmijenjene Signal pozivnice na infrastrukturi pod kontrolom napadača, dizajnisanoj da izgleda identično legitimnim Signal grupnim pozivnicama,” navodi Google.
Još jedan napadač povezan s ciljanjem Signal korisnika je UNC4221 (poznat i kao UAC-0185), koji je posebno ciljao Signal naloge ukrajinskog vojnog osoblja koristeći prilagođeni phishing alat koji oponaša određene funkcije aplikacije Kropyva, koju oružane snage Ukrajine koriste za navođenje artiljerijske paljbe.
Takođe se koristi lagani JavaScript kod pod nazivom PINPOINT, koji putem phishing stranica prikuplja osnovne korisničke podatke i geolokacijske informacije.
Pored UNC5792 i UNC4221, druge poznate prijetnje koje ciljaju Signal uključuju Sandworm (poznat i kao APT44), koji koristi Windows Batch skriptu WAVESIGN; Turla, koja koristi laganu PowerShell skriptu; i UNC1151, koji koristi Robocopy alat za krađu Signal poruka s kompromitovanih desktop uređaja.
Signal je objavio nova ažuriranja za Android i iOS, koja uključuju poboljšane sigurnosne funkcije protiv ovakvih phishing napada. Korisnicima se preporučuje ažuriranje na najnoviju verziju kako bi omogućili ove zaštite.
Google-ova objava dolazi nešto više od mjesec dana nakon što je Microsoft Threat Intelligence tim otkrio da je ruska hakerska grupa Star Blizzard koristila sličnu tehniku povezivanja uređaja za preuzimanje WhatsApp naloga.
Prošle sedmice, Microsoft i Volexity takođe su otkrili da više ruskih hakerskih grupa iskorištava tehniku “phishinga kodova uređaja” kako bi preuzeli pristup nalozima žrtava, ciljajući ih putem aplikacija kao što su WhatsApp, Signal i Microsoft Teams.
“Fokusiranje više prijetnji na Signal u posljednjim mjesecima predstavlja važan pokazatelj sve veće opasnosti za sigurnosne aplikacije za razmjenu poruka, koja će se u bliskoj budućnosti vjerovatno dodatno pojačati,” ističe Google.
“Kao što se vidi u širokim naporima da se kompromituju Signal nalozi, ova prijetnja nije ograničena samo na daljinske cyber operacije, poput phishinga i malvera, već uključuje i fizičke napade, gdje napadač može dobiti kratkotrajan pristup otključanom uređaju mete.”
Ova objava dolazi nakon otkrića nove kampanje SEO trovanja, u kojoj lažne stranice za preuzimanje aplikacija, poput Signala, LINE-a, Gmaila i Google Translatea, distribuisaju backdoor malvere namijenjene korisnicima koji govore kineski.
“Maliciozni programi isporučeni putem lažnih stranica za preuzimanje prate dosljedan obrazac izvršenja, uključujući privremeno izdvajanje datoteka, procesnu injekciju, sigurnosne modifikacije i mrežnu komunikaciju,” navodi Hunt.io, dodajući da se uzorci ponašaju poput malicioznih programa za krađu informacija povezanih s malverom nazvanim MicroClip.
Izvor:The Hacker News
