Expertos en ciberseguridad han advertido sobre un aumento en las campañas de ataques de agentes maliciosos asociados al gobierno ruso, como es el caso de Sandworm, que ataca a usuarios ucranianos a través de códigos QR maliciosos que explotan la función de dispositivos vinculados de Signal Messenger, lo que les permite acceder a los mensajes de la víctima en tiempo real para espiarlos.
Signal Messenger es de una aplicación de mensajería instantánea basada en la privacidad, lo que la hace popular entre objetivos comunes en las actividades de vigilancia y espionaje, como son los políticos, militares, periodistas y activistas, además de otros colectivos en riesgo.
En este sentido, el Threat Intelligence Group de Google ha informado sobre un aumento en los ciberataques de 'hackers' asociados al gobierno ruso, que tratan de acceder a cuentas de esta plataforma utilizadas por objetivos de interés, mediante códigos QR maliciosos, para después ofrecer esta información a los servicios de inteligencia rusa.
Así lo han compartido los expertos en ciberseguridad de Google, en el marco de una nueva investigación en la que analizan este incremento en la actividad maliciosa por parte de varios agentes de amenazas alineados con el Gobierno ruso desde el pasado año, como parte de un interés emergente que responde al "imperativo bélico de acceder a comunicaciones gubernamentales y militares sensibles", en el contexto de la invasión rusa a Ucrania.
En este sentido, la investigación describe varias tácticas utilizadas por los actores maliciosos para acceder a cuentas de Signal, entre ellas, la más ampliamente utilizada ha sido la de explotar la función legítima de dispositivos vinculados de Signal, que permite utilizar la red social en varios dispositivos al mismo tiempo.
Para activar esta función, los usuarios han de escanear un código QR desde el dispositivo que deseen vincular. Sin embargo, los ciberdelincuentes engañan a las víctimas, que habitualmente son personal militar y gubernamental ucraniano, para que escaneen códigos QR maliciosos que vinculan su cuenta de Signal a una instancia de la red social controlada por los actores maliciosos.
Así, una vez las víctimas escanean los códigos QR, los actores maliciosos consiguen acceso a los mensajes de la víctima en tiempo real y, por tanto, les permite realizar una vigilancia a largo plazo de la información que se mueve por los chats, todo ello sin ser detectados.
Esta táctica ha sido identificada en el grupo de amenazas ruso conocido como Sandworm (APT44), quienes han llevado a cabo operaciones de 'phishing' remoto para realizar estos ataques, ocultando los activos maliciosos como "recursos legítimos de la propia aplicación".
INVITACIONES MODIFICADAS PARA UNIRSE A GRUPOS DE SIGNAL
Siguiendo esta línea, el Threat Intelligence Group de Google también ha advertido que otro método de comprometer cuentas de Signal, igualmente, mediante el procedimiento de vinculación de dispositivos, ha sido recurriendo a la alteración de páginas legítimas de invitaciones a grupos.
Este método, que se ha identificado por parte del grupo de espionaje ruso denominado UNC5792, se basa en redirigir a la víctima a una URL maliciosa, en lugar de un grupo de Signal real. De esta forma, se trata de una URL que vincula la cuenta de Signal de la víctima a un dispositivo controlado por el actor malicioso para acceder a sus conversaciones.
Por otra parte, desde Google han identificado otro agente de amenazas vinculado a Rusia, al que se refieren como UNNC4221, que ha desarrollado un kit de 'phishing' de Signal, diseñado específicamente para imitar determinados elementos de la aplicación que emplean las Fuerzas Armadas de Ucrania, Kropyva.
Según han explicado, con este kit, los ciberdelincuentes también hacen pasar la funcionalidad de vinculación de dispositivos por una invitación a un grupo de Signal procedente de un contacto de confianza.
CRECIMIENTO EN LOS ATAQUES A APLICACIONES DE MENSAJERÍA
Con todo ello, en paralelo con otras tendencias del panorama de amenazas analizadas por Google, como es el aumento del 'software' espía "comercial" y el auge de variantes de 'malware' para dispositivos móviles en zonas con conflictos activos, los expertos en ciberseguridad han concluido que existe "una demanda clara y en crecimiento" de cibercapacidades ofensivas, que puedan emplearse para vigilar comunicaciones sensibles de personas que utilizan aplicaciones de mensajería seguras para su actividad en línea.
Según han advertido desde Google Threat Intelligence Group, es probable que las tácticas y métodos utilizados para atacar la red social Signal "ganen prevalencia a corto plazo y se extiendan a otras regiones y agentes de amenazas", de forma independiente al escenario de la guerra en Ucrania.
Asimismo, de una forma más amplia, estas amenazas se extienden igualmente a otras aplicaciones de mensajería muy utilizadas como WhatsApp y Telegram, que también están siendo atacadas activamente por grupos de amenazas alineados con Rusia, con técnicas similares.
MEDIDAS DE SEGURIDAD
Teniendo todo ello en cuenta, Google Threat Intelligence ha compartido algunos detalles a tener en cuenta para mejorar la seguridad de los usuarios a la hora de utilizar estas aplicaciones de mensajería.
En este sentido, los expertos recomiendan activar el bloqueo de pantalla en todos los dispositivos móviles, utilizando una contraseña larga y compleja formada por letras mayúsculas, minúsculas, números y símbolos.
Igualmente, también han señalado la importancia de instalar "lo antes posible" cualquier actualización de sistema operativo y utilizar la última versión de Signal o de cualquier otra aplicación de mensajería.
Asimismo, es relevante comprobar de forma regular qué dispositivos están vinculados, para detectar posibles dispositivos no autorizados, así como desconfiar de códigos QR o recursos web que simulen ser actualizaciones de 'software' o invitaciones para unirse a grupos.
Por otra parte, en el caso de dispositivos Android, es aconsejable mantener activada la función Google Play Protect, de manera que cuando se detecte una aplicación con un comportamiento malicioso conocido, avise al usuario o la bloquee, incluso si procede de una fuente ajena a Google Play. En lo relativo a usuarios de iPhone, Google sugiere utilizar el modo bloqueo del dispositivo para "reducir su superficie de ataque".
Últimas Noticias
Samsung y AMD refuerzan su alianza para el desarrollo de infraestructura de IA
Las dos compañías firmaron un acuerdo estratégico para impulsar nuevas soluciones en memoria y computación, centradas en centros de datos y cargas sofisticadas, con el objetivo de acelerar la innovación y maximizar el rendimiento en inteligencia artificial a nivel global
Muere un palestino en un nuevo ataque del Ejército de Israel contra el sur de la Franja de Gaza
Una persona perdió la vida cerca de la Universidad Al Aqsa en Jan Yunis, según fuentes médicas, mientras continúan los bombardeos pese a la tregua y aumentan las víctimas civiles, advierte el Ministerio de Sanidad gazatí
El presidente de Perú señala que el Congreso "recomendó" la salida de Miralles para luchar contra la inseguridad
Ante una nueva etapa política, el mandatario peruano justificó el cambio de jefatura del gabinete como una medida orientada a reforzar esfuerzos contra el repunte delictivo, colocando a Luis Arroyo al frente ante el voto de confianza clave
Irán confirma el asesinato del ministro de Inteligencia tras un ataque de Israel contra Teherán
Las autoridades persas denunciaron la eliminación de Esmail Jatib en la capital y lamentaron la pérdida de altos funcionarios, mientras Estados Unidos y la ONG Human Rights Activists in Iran reportan cifras de víctimas mucho mayores, principalmente civiles
Zelenski se reúne con los presidentes del Congreso y del Senado en el marco de su nueva visita a España
Acompañado por su equipo, el jefe de Estado ucraniano saludó a figuras clave de ambas cámaras en Madrid antes de un encuentro privado, reforzando el diálogo institucional y la cooperación entre ambos países en medio de su gira oficial
