Plusieurs acteurs de menaces alignés par la Russie ont été observés ciblant les individus d’intérêt via le signal de l’application de messagerie axée sur la vie privée pour obtenir un accès non autorisé à leurs comptes.
“La technique la plus nouvelle et la plus largement utilisée qui sous-tend les tentatives alignées par russe pour compromettre les comptes de signaux est l’abus de la fonction légitime des” appareils liés “qui permet à Signage d’être utilisé sur plusieurs appareils simultanément”, le Google Mende Intelligence Group (GTIG) dit dans un rapport.
Dans les attaques repérées par les équipes de renseignement sur les menaces du géant de la technologie, les acteurs de la menace, dont un qu’il suivit en tant que UNC5792, a recours à des codes QR malveillants qui, lorsqu’ils sont numérisés, lieront le compte d’une victime à une instance de signal contrôlée par l’acteur.
En conséquence, les futurs messages sont livrés de manière synchrone à la fois à la victime et à l’acteur de menace en temps réel, accordant ainsi aux acteurs de la menace un moyen persistant d’écouter les conversations de la victime. Google a déclaré que l’UAC-0195 chevauche partiellement un groupe de piratage appelé UAC-0195.
Ces codes QR sont connus pour se faire passer pour des invitations de groupe, des alertes de sécurité ou des instructions d’appareils légitimes du site Web du signal. Alternativement, les codes QR liant des dispositifs malveillants se sont avérés être intégrés dans des pages de phishing qui prétendent être des applications spécialisées utilisées par l’armée ukrainienne.
“UNC5792 a hébergé des invitations de groupe de signaux modifiées sur une infrastructure contrôlée par l’acteur conçue pour apparaître identique à une invitation légitime de groupe de signaux”, a déclaré Google.
Un autre acteur de menace lié au ciblage du signal est UNC4221 (aka UAC-0185), qui a ciblé les comptes de signaux utilisés par le personnel militaire ukrainien au moyen d’un kit de phishing personnalisé conçu pour imiter certains aspects de l’application Kropropyva utilisés par les forces armées de l’Ukraine pour les conseils d’artillerie.
La charge utile JavaScript légère surnommée est également utilisée qui peut collecter des informations de base utilisateur et des données de géolocalisation via des pages de phishing.
En dehors des UNC5792 et de l’UNC4221, certains des autres collectifs contradictoires qui ont formé leur viseurs sur le signal sont Sandworm (alias APT44), qui a utilisé un script de lot Windows nommé Wavesign; Turla, qui a exploité un script PowerShell léger; et UNC1151, qui a mis pour utiliser l’utilitaire Robocopy pour exfiltrer les messages de signal d’un bureau infecté.
La divulgation de Google survient un peu plus d’un mois après que l’équipe de Microsoft Threat Intelligence a attribué l’acteur de menace russe connu sous le nom de Star Blizzard à une campagne de phisces de lance qui exploite une fonction de liaison d’appareil similaire pour détourner les comptes WhatsApp.
La semaine dernière, Microsoft et Volexity ont également révélé que plusieurs acteurs de menaces russes tirent parti d’une technique appelée périphérique de code de périphérique pour se connecter aux comptes des victimes en les ciblant via des applications de messagerie comme WhatsApp, Signal et Microsoft.
“L’accent opérationnel sur le signal des acteurs de plusieurs menaces au cours des derniers mois sert d’avertissement important à la menace croissante de sécuriser les applications de messagerie qui sont sûrs de s’intensifier à court terme”, a déclaré Google.
“Comme le reflète des efforts de grande envergure pour compromettre les comptes de signalisation, cette menace pour sécuriser les applications de message Le dispositif déverrouillé de Target. “
La divulgation suit également la découverte d’une nouvelle campagne d’empoisonnement d’optimisation des moteurs de recherche (SEO) qui utilise de fausses pages de téléchargement qui se font l’identité d’applications populaires telles que Signal, Line, Gmail et Google Translate pour livrer des exécutables arrière destinés aux utilisateurs chinois.
“Les exécutables livrés via de fausses pages de téléchargement suivent un modèle d’exécution cohérent impliquant l’extraction de fichiers temporaire, l’injection de processus, les modifications de sécurité et les communications réseau”, Hunt.io ditajoutant les échantillons présentent une fonctionnalité de type infostatrice associée à une souche malveillante appelée microclip.



