Руските киберпрестъпници злоупотребяват с функцията „свързани устройства“ на Signal, за да извършват операции за дистанционно фиширане и доставка на зловреден софтуер.
Руските киберпрестъпни групи, включително Sandworm и Turla, все по-често се насочват към приложението за криптирани съобщения Signal, за да подслушват украински войници и други лица, които представляват интерес за руските разузнавателни служби.
Злонамерените участници използват функцията „свързани устройства“ на Signal, която позволява Signal да се използва на множество устройства след сканиране на QR код.
„Ако това е успешно, бъдещите съобщения ще бъдат доставяни синхронно както на жертвата, така и на извършителя на заплахата в реално време, без да е необходимо компрометиране на цялото устройство“, казва Google Threat Intelligence Group (GTIG) в последното си изследване.
Въпреки че наблюдаваните атаки са предизвикани от военни искания след руската инвазия в Украйна, GTIG очаква атаките да се засилят и да бъдат възприети от други киберпрестъпни групи.
Освен това експлойтите на Signal могат да бъдат използвани и за атакуване на други услуги за криптирани съобщения, включително WhatsApp и Telegram. Групи за заплахи, свързани с Русия, активно се насочват към двете приложения, използвайки подобни техники.
Атаките
За да компрометират акаунтите на Signal, използвайки функцията за свързване на устройства, руските киберпрестъпници UNC5792 хостват модифицирани покани за участие в групи на Signal в своята инфраструктура. Тези покани са били проектирани така, че да изглеждат идентични с легитимните покани за участие в групи на Signal.
GTIG казва, че във всяка фалшива покана за участие в група кодът на JavaScript, който обикновено пренасочва потребителя към присъединяване към група на Signal, е бил заменен със злонамерен блок, съдържащ унифициран идентификатор на ресурса (URI).
Той се използва от Signal за свързване на ново устройство към Signal, като подвежда жертвите да свържат акаунтите си в Signal с устройство, контролирано от UNC5792.
Друг колектив, UNC4221, също се е опитал да маскира своята функционалност за свързване на устройства като покана за участие в група на Signal от доверен контакт. Изследователите са наблюдавали различни варианти на този комплект за фишинг.
„Като основен компонент на своето насочване към Signal, UNC4221 използваше и лек полезен товар на JavaScript, проследен като PINPOINT, за да събира основна информация за потребителя и данни за геолокация, използвайки API за геолокация на браузъра“, отбелязва GTIG.
Освен при операции за отдалечен фишинг и доставка на зловреден софтуер, зловредните QR кодове се използват и при операции за близък достъп.
APT44, известна също като Sandworm, е работила, за да даде възможност на руските военни сили да свържат акаунти Signal на устройства, заловени на бойното поле, обратно към контролирана от Sandworm инфраструктура за последваща експлоатация.
В допълнение към целенасочените усилия са наблюдавани руски и беларуски групи, включително Infamous Chisel, Turla, Sandworm и UNC1151, които се опитват да откраднат файлове с бази данни на Signal от устройства с Android и Windows.
Sandworm, например, е наблюдавана да използва WAVESIGN, лек Windows Batch script, за периодично запитване за Signal съобщения от базата данни Signal на жертвата и да ексфилтрира тези най-нови съобщения с помощта на Rclone, казва GTIG,
Източник: e-security.bg
