MADRI 19 fev. (Portaltic/EP) -
Especialistas em segurança cibernética alertaram sobre um aumento nas campanhas de ataque de agentes maliciosos associados ao governo russo, como o Sandworm, que ataca usuários ucranianos por meio de códigos QR maliciosos que exploram o recurso de dispositivos vinculados do Signal Messenger, permitindo que eles acessem as mensagens da vítima em tempo real para espioná-la.
O Signal Messenger é um aplicativo de mensagens instantâneas baseado em privacidade, o que o torna popular entre os alvos comuns de atividades de vigilância e espionagem, como políticos, militares, jornalistas e ativistas, bem como outros grupos de risco.
Nesse sentido, o Grupo de Inteligência de Ameaças do Google relatou um aumento nos ataques cibernéticos de hackers associados ao governo russo, que tentam acessar contas nessa plataforma usadas por alvos de interesse, usando códigos QR maliciosos, e depois fornecem essas informações aos serviços de inteligência russos.
Isso foi compartilhado pelos especialistas em segurança cibernética do Google como parte de um novo estudo de pesquisa que analisa esse aumento na atividade maliciosa de vários agentes de ameaças alinhados com o governo russo desde o ano passado, como parte de um interesse emergente no "imperativo de tempo de guerra para acessar comunicações governamentais e militares confidenciais" no contexto da invasão da Rússia na Ucrânia.
Nesse sentido, a pesquisa descreve várias táticas usadas por agentes mal-intencionados para obter acesso às contas do Signal, sendo que a mais amplamente utilizada foi a exploração do recurso de dispositivos vinculados legítimos do Signal, que permite que a rede social seja usada em vários dispositivos ao mesmo tempo.
Para ativar esse recurso, os usuários precisam escanear um código QR do dispositivo que desejam vincular. No entanto, os criminosos cibernéticos enganam as vítimas, que geralmente são militares e funcionários do governo ucraniano, para que escaneiem códigos QR maliciosos que vinculam sua conta do Signal a uma instância da rede social controlada pelos agentes maliciosos.
Assim, uma vez que as vítimas escaneiam os códigos QR, os agentes mal-intencionados obtêm acesso às mensagens da vítima em tempo real, o que lhes permite realizar uma vigilância de longo prazo das informações que circulam pelos bate-papos, tudo sem serem detectados.
Essa tática foi identificada no grupo de ameaças russo conhecido como Sandworm (APT44), que conduziu operações de phishing remoto para realizar esses ataques, disfarçando os ativos mal-intencionados como "recursos legítimos do próprio aplicativo".
CONVITES MODIFICADOS PARA PARTICIPAR DE GRUPOS DE SINAIS
Em seguida, o Grupo de Inteligência contra Ameaças do Google também alertou que outro método de comprometimento das contas do Signal, da mesma forma que o procedimento de emparelhamento de dispositivos, foi a alteração de páginas de convite de grupos legítimos.
Esse método, que foi identificado pelo grupo de espionagem russo UNC5792, baseia-se em redirecionar a vítima para um URL malicioso em vez de um grupo real do Signal. Dessa forma, é um URL que vincula a conta Signal da vítima a um dispositivo controlado pelo agente mal-intencionado para acessar suas conversas.
O Google também identificou outro agente de ameaça ligado à Rússia, conhecido como UNNC4221, que desenvolveu um kit de phishing do Signal projetado especificamente para imitar certos elementos do aplicativo usado pelas Forças Armadas da Ucrânia, o Kropyva.
Eles explicaram que, com esse kit, os criminosos cibernéticos também transmitem a funcionalidade de emparelhamento de dispositivos como um convite para um grupo do Signal de um contato confiável.
CRESCIMENTO DOS ATAQUES A APLICATIVOS DE MENSAGENS
Paralelamente a outras tendências no cenário de ameaças analisadas pelo Google, como o aumento de spyware "comercial" e o aumento de variantes de malware móvel em zonas de conflito ativas, os especialistas em segurança cibernética concluíram que há "uma demanda clara e crescente" por recursos cibernéticos ofensivos que podem ser usados para monitorar comunicações confidenciais de pessoas que usam aplicativos de mensagens seguras para suas atividades on-line.
De acordo com o Google Threat Intelligence Group, as táticas e os métodos usados para atacar a rede social Signal provavelmente "ganharão prevalência no curto prazo e se espalharão para outras regiões e agentes de ameaças", independentemente do cenário de guerra na Ucrânia.
De forma mais ampla, essas ameaças também se estendem a outros aplicativos de mensagens amplamente usados, como o WhatsApp e o Telegram, que também estão sendo ativamente visados por grupos de ameaças alinhados à Rússia usando técnicas semelhantes.
MEDIDAS DE SEGURANÇA
Com tudo isso em mente, o Google Threat Intelligence compartilhou alguns detalhes que devem ser levados em conta para melhorar a segurança dos usuários ao usar esses aplicativos de mensagens.
Nesse sentido, os especialistas recomendam ativar o bloqueio de tela em todos os dispositivos móveis, usando uma senha longa e complexa composta de letras maiúsculas e minúsculas, números e símbolos.
Eles também ressaltaram a importância de instalar qualquer atualização do sistema operacional "o mais rápido possível" e usar a versão mais recente do Signal ou de qualquer outro aplicativo de mensagens.
Também é importante verificar regularmente quais dispositivos estão vinculados para detectar dispositivos não autorizados e desconfiar de códigos QR ou recursos da Web que fingem ser atualizações de software ou convites para participar de grupos.
Além disso, para dispositivos Android, é aconselhável manter o Google Play Protect ativado, para que, quando um aplicativo com comportamento mal-intencionado conhecido for detectado, ele alerte o usuário ou o bloqueie, mesmo que seja proveniente de uma fonte não pertencente ao Google Play. Para os usuários do iPhone, o Google sugere usar o modo de bloqueio do dispositivo para "reduzir a superfície de ataque".
Esta notícia foi traduzida por um tradutor automático