Recentemente, diversi attori di minacce allineati con la Russia sono stati osservati mentre cercavano di compromettere gli account di interesse attraverso Signal, un'app di messaggistica incentrata sulla privacy. Il metodo principale utilizzato da questi attori è l'abuso della funzione "dispositivi collegati" di Signal, che consente di utilizzare l'app su più dispositivi contemporaneamente. Questa funzionalità, se sfruttata in modo malevolo, permette a un attaccante di collegare un'istanza di Signal controllata da lui al dispositivo della vittima mediante codici QR malevoli. Una volta effettuato il collegamento, i messaggi futuri vengono consegnati simultaneamente sia alla vittima sia all'attore della minaccia, consentendo a quest'ultimo di spiare costantemente le conversazioni della vittima.

Dettagli sugli Attacchi

Secondo un rapporto del Google Threat Intelligence Group (GTIG), le tecniche osservate implicano l'uso di codici QR malevoli che si spacciano per inviti a gruppi, avvisi di sicurezza o istruzioni di accoppiamento del dispositivo legittime dal sito web di Signal. Alcuni di questi codici QR sono stati trovati integrati in pagine di phishing che si presentano come applicazioni specializzate utilizzate dall'esercito ucraino. Tra gli attori di minacce identificati, vi è UNC5792, noto per aver ospitato inviti di gruppo di Signal modificati su infrastrutture controllate dagli attori per farli apparire identici a quelli legittimi.

Un altro attore di minacce coinvolto è UNC4221, noto anche come UAC-0185, che ha preso di mira gli account Signal utilizzati dal personale militare ucraino. Questo attore utilizza un kit di phishing personalizzato per imitare l'applicazione Kropyva utilizzata dalle Forze Armate dell'Ucraina per la guida dell'artiglieria. È stato inoltre identificato un payload leggero in JavaScript, denominato PINPOINT, che raccoglie informazioni di base sugli utenti e dati di geolocalizzazione tramite pagine di phishing.

Gruppi Avversari e Risposte

Oltre a UNC5792 e UNC4221, altri gruppi avversari che hanno preso di mira Signal includono Sandworm (noto anche come APT44), che utilizza uno script Windows Batch chiamato WAVESIGN; Turla, che opera con uno script PowerShell leggero; e UNC1151, che sfrutta l'utilità Robocopy per esfiltrare i messaggi di Signal da un desktop infetto.

In risposta a queste minacce, Signal ha rilasciato nuovi aggiornamenti per Android e iOS con funzionalità rafforzate per proteggere gli utenti da tali attacchi di phishing. Gli utenti sono incoraggiati ad aggiornare alla versione più recente per abilitare queste funzionalità di sicurezza. Questa rivelazione segue l'attribuzione, da parte del team Microsoft Threat Intelligence, di una campagna di spear phishing a un attore di minacce russo noto come Star Blizzard, che sfrutta una funzione simile di collegamento dei dispositivi per compromettere gli account WhatsApp.