Sono stati osservati molteplici attori delle minacce allineate alla Russia che prendono di mira le persone di interesse tramite l’app di messaggistica incentrata sulla privateness per ottenere un accesso non autorizzato ai loro account.
“La tecnica più nuova e ampiamente utilizzata alla base dei tentativi allineati alla russa di compromettere gli account del segnale è l’abuso della funzionalità legittima dei” dispositivi collegati “dell’app che consente di utilizzare il segnale su più dispositivi contemporaneamente”, il Google Risk Intelligence Group (GTIG) disse in un rapporto.
Negli attacchi individuati dai staff di intelligence delle minacce del gigante della tecnologia, gli attori delle minacce, incluso uno che si monitora come UNC5792, hanno fatto ricorso a codici QR dannosi che, quando scansionati, collegheranno l’account di una vittima a un istanza di segnale controllato da attori.
Di conseguenza, i messaggi futuri vengono consegnati in modo sincrono sia alla vittima che all’attore delle minacce in tempo reale, concedendo così agli attori delle minacce un modo persistente per intercettare le conversazioni della vittima. Google ha detto che UAC-0195 si sovrappone parzialmente con un gruppo di hacking noto come UAC-0195.
Questi codici QR sono noti per essere mascherati da inviti di gruppo, avvisi di sicurezza o istruzioni di accoppiamento dei dispositivi legittimi dal sito Internet del segnale. In alternativa, è stato scoperto che i codici QR che legano il dispositivo dannoso sono incorporati in pagine di phishing che pretendono di essere applicazioni specializzate utilizzate dall’esercito ucraino.
“UNC5792 ha ospitato inviti a gruppo di segni modificati sull’infrastruttura controllata dagli attori progettata per apparire identica a un invito a gruppo di segnale legittimo”, ha affermato Google.
Un altro attore della minaccia legata al focusing on del segnale è UNC4221 (aka UAC-0185;
Utilizzato è anche un leggero payload JavaScript soprannominato che può raccogliere informazioni di base dell’utente e dati di geolocalizzazione attraverso pagine di phishing.
Al di fuori dell’UNC5792 e dell’UNC4221, alcuni degli altri collettivi contraddittori che hanno addestrato i loro occhi sul segnale sono sandworm (alias APT44), che ha utilizzato uno script batch di Home windows chiamato Wavesign; Turla, che ha gestito una scrittura di PowerShell leggera; e UNC1151, che ha messo a utilizzare i messaggi di segnale di Robocopy per esfiltrarsi da un desktop infetto.
La divulgazione di Google arriva poco più di un mese dopo il staff di intelligence delle minacce di Microsoft attribuito L’attore delle minacce russe noto come Blizzard di Star per una campagna di phishing delle lance che sfrutta una funzione simile al dispositivo per il dirottamento degli account WhatsApp.
La scorsa settimana, anche Microsoft e Volexity rivelato Che più attori delle minacce russe stanno sfruttando una tecnica chiamata Phishing del codice del dispositivo per accedere agli account delle vittime prendendole di mira tramite app di messaggistica come WhatsApp, Sign e Microsoft Groups.
“L’enfasi operativa sul segnale di più attori delle minacce negli ultimi mesi funge da importante avvertimento per la crescente minaccia per garantire applicazioni di messaggistica che si intensificheranno a breve termine”, ha affermato Google.
“Come si riflette in ampi sforzi di distanza per compromettere i conti del segnale, questa minaccia per garantire le applicazioni di messaggistica non si limita a operazioni cyber distant come il phishing e la consegna di malware, ma embody anche le operazioni di accesso ravvicinato in cui un attore delle minacce può garantire un breve accesso a un accesso Dispositivo sbloccato di Goal. “
La divulgazione segue anche la scoperta di una nuova campagna di avvelenamento di ottimizzazione dei motori di ricerca (website positioning) che utilizza pagine di obtain false che impersonano applicazioni popolari come Sign, Line, Gmail e Google Translate per consegnare eseguibili backdoored rivolti agli utenti di lingua cinese.
“Gli eseguibili consegnati tramite false pagine di obtain seguono un modello di esecuzione coerente che coinvolge l’estrazione temporanea dei file, l’iniezione di processo, le modifiche alla sicurezza e le comunicazioni di rete”, Hunt.io dissel’aggiunta dei campioni presentano funzionalità simili a infostealer affiliate a una deformazione malware denominata microclip.
