Atores de ameaças afiliados aos serviços de inteligência russos estão conduzindo campanhas de phishing para comprometer aplicativos de mensagens comerciais (CMAs), como WhatsApp e Signal, para assumir o controle de contas pertencentes a indivíduos com alto valor de inteligência, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o Federal Bureau of Investigation (FBI). disse Sexta-feira.
“A campanha tem como alvo indivíduos de alto valor de inteligência, incluindo atuais e ex-funcionários do governo dos EUA, militares, figuras políticas e jornalistas”, disse o diretor do FBI, Kash Patel. disse em uma postagem no X. “Globalmente, esse esforço resultou em acesso não autorizado a milhares de contas individuais. Depois de obter acesso, os atores podem visualizar mensagens e listas de contatos, enviar mensagens como vítimas e realizar phishing adicional a partir de uma identidade confiável.”
A CISA e o FBI disseram que a atividade resultou no comprometimento de milhares de contas individuais do CMA. É importante notar que os ataques são projetados para invadir as contas visadas e não exploram qualquer vulnerabilidade ou fraqueza de segurança para quebrar as proteções de criptografia das plataformas.
Embora as agências não tenham atribuído a atividade a um ator de ameaça específico, relatórios anteriores da Microsoft e do Google Threat Intelligence Group vincularam essas campanhas a vários clusters de ameaças alinhados à Rússia, rastreados como Star Blizzard, UNC5792 (também conhecido como UAC-0195) e UNC4221 (também conhecido como UAC-0185).
Num alerta semelhante, o Centro de Coordenação de Crise Cibernética (C4), parte da Agência Nacional de Segurança Cibernética de França (ANSSI), alertou para um aumento nas campanhas de ataques dirigidas a contas de mensagens instantâneas associadas a funcionários governamentais, jornalistas e líderes empresariais.
“Esses ataques – quando bem-sucedidos – podem permitir que atores mal-intencionados acessem históricos de conversas ou até mesmo assumam o controle das contas de mensagens de suas vítimas e enviem mensagens enquanto se fazem passar por elas”, C4 disse.
O objetivo final da campanha é permitir que os agentes da ameaça obtenham acesso não autorizado às contas das vítimas, permitindo-lhes visualizar mensagens e listas de contactos, enviar mensagens em seu nome e até mesmo realizar phishing secundário contra outros alvos, abusando de relações de confiança.
Tal como recentemente alertado pelas agências de segurança cibernética da Alemanha e dos Países Baixos, o ataque envolve o adversário se passando por “Suporte de Sinal” para abordar os alvos e incentivá-los a clicar em um link (ou, alternativamente, escanear um código QR) ou fornecer o PIN ou código de verificação. Em ambos os casos, o esquema de engenharia social permite que os agentes da ameaça obtenham acesso à conta CMA da vítima.
No entanto, a campanha tem dois resultados diferentes para a vítima, dependendo do método utilizado –
- Se a vítima optar por fornecer o PIN ou código de verificação ao autor da ameaça, ela perderá o acesso à sua conta, pois o invasor o usou para recuperar a conta. Embora o autor da ameaça não possa acessar mensagens anteriores, o método pode ser usado para monitorar mensagens novas e enviar mensagens a outras pessoas, fazendo-se passar pela vítima.
- Se a vítima clicar no link ou escanear o código QR, um dispositivo sob o controle do autor da ameaça será vinculado à conta da vítima, permitindo-lhe acessar todas as mensagens, inclusive aquelas enviadas no passado. Neste cenário, a vítima continua a ter acesso à conta CMA, a menos que seja explicitamente removida das configurações do aplicativo.
Para melhor se proteger contra a ameaça, os usuários são aconselhados a nunca compartilhe deles Código SMS ou PIN de verificação com qualquer pessoatenha cuidado ao receber mensagens inesperadas de contatos desconhecidos, verifique os links antes de clicar neles e revise periodicamente os dispositivos vinculados e remova aqueles que parecerem suspeitos.
“Esses ataques, como todos os phishing, dependem de engenharia social. Os invasores se fazem passar por contatos ou serviços confiáveis (como o inexistente ‘Signal Support Bot’) para induzir as vítimas a entregar suas credenciais de login ou outras informações”, disse Signal. disse em uma postagem no X no início deste mês.
“Para ajudar a evitar isso, lembre-se de que seu código de verificação SMS do Signal só é necessário quando você se inscreve pela primeira vez no aplicativo Signal. Também queremos enfatizar que o suporte do Signal *nunca* iniciará contato por meio de mensagens no aplicativo, SMS ou mídia social para solicitar seu código de verificação ou PIN. Se alguém solicitar qualquer código relacionado ao Signal, é uma farsa. “
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.