Хакеры атакуют Signal новым методом с использованием QR-кодов

Исследователи Google предупреждают о продолжающейся фишинговой кампании, которая распространяет QR-коды для получения доступа к аккаунтам пользователей Signal. Целями атак в основном являются военные.

Эксперты сообщают, что российские угрозовые группы, спонсируемые государством, все чаще стали мишенью для фишинговых атак с использованием QR-кодов, вредоносного ПО и других методов. В отчете Google’s Threat Intelligence Group (GTIG) отмечается, что использование Signal среди военных, политиков, журналистов, активистов и других групп высокого риска стало особенно популярным с начала войны между Россией и Украиной.

В результате различные угрозовые группы (особенно APT44 и UNC5792) пытаются злоупотреблять функцией «связанных устройств» для атак. Функция связанных устройств позволяет пользователям подключать несколько устройств, таких как ноутбуки, планшеты и мобильные устройства, к одному аккаунту.

Чтобы упростить процесс входа, пользователи могут сканировать QR-код с уже авторизованного устройства вместо ввода пароля или регистрации нового сервиса. Однако циберкриминальные элементы начали отправлять фишинговые письма с приглашениями в ложные группы, различными предупреждениями о безопасности и другими сообщениями, которые также содержат QR-коды.

Если жертва сканирует этот код, устройство злоумышленника получает доступ к аккаунту, позволяя ему просматривать контакты, сообщения и другую информацию. Поскольку фишинговые письма не содержат вредоносные ссылки или вложения, которые можно было бы обнаружить при сканировании системами безопасности электронной почты, такие сообщения часто проходят через фильтры и попадают в ящики пользователей.

Кроме фишинга, российские и белорусские угрозовые группы также используют вредоносное ПО и специализированные инструменты для извлечения сообщений Signal с зараженных устройств Android и Windows. Эти усилия включают скрипты, такие как WAVESIGN, который периодически извлекает сообщения из базы данных Signal, а также Infamous Chisel — известный вариант вредоносного ПО для Android.

Другие акторы угроз, такие как Turla и UNC1151, используют PowerShell и командные утилиты для кражи сохраненных сообщений Signal с зараженных компьютеров.