Аналитики Google Threat Intelligence Group предупредили, что хакеры используют легитимную функцию «Привязанные устройства» (Linked Devices) в Signal для получения несанкционированного доступа к чужим аккаунтам.
По информации исследователей, за последний год злоупотребление функцией Linked Devices стало «наиболее новаторской и широко используемой техникой», которую применяют для взлома Signal русскоязычные хак-группы.
В рамках таких атак злоумышленники создают вредоносные QR-коды и обманом вынуждают потенциальных жертв отсканировать их, чтобы Signal синхронизировался с устройством самих хакеров. Этот простой трюк не требует полной компрометации устройства жертвы, но позволяет отслеживать защищенные разговоры.
Специалисты отмечают, что этот способ адаптируется в зависимости от типа цели. В более масштабных кампаниях злоумышленники маскировали вредоносные QR-коды под легитимные ресурсы приложений (например, приглашения в группу Signal) или инструкции по сопряжению устройств с официального сайта Signal.
В случае узконаправленных и целевых атак хакеры добавляли вредоносные QR-коды на фишинговые страницы, которые должны были заинтересовать потенциальную жертву. К примеру, маскируя коды под «специализированные приложения, используемые объектами операции».
Другой способ, основанный на функции Linked Devices, связан с изменением страницы приглашения в легитимную группу. В результате страница перенаправляет жертву на вредоносный URL, который подключает аккаунт Signal к устройству, контролируемому атакующими.
«В ходе этих операций группа UNC5792 размещала модифицированные приглашения в группы Signal в контролируемой ей инфраструктуре. Эти приглашения выглядели идентично легитимным приглашениям в группы Signal», — сообщает Google TIG.
В поддельных приглашениях легитимный JavaScript-код редиректа был заменен на вредоносный блок, включающий URI Signal для привязки нового устройства (sgnl://linkdevice uuid) вместо URI для вступления в группу (sgnl://signal.group/). Приняв такое приглашение, жертва подключала свой аккаунт Signal к устройству, контролируемому злоумышленниками.
Также исследователи утверждают, что хакеры из России и Беларуси занимаются поиском и сбором сообщений из файлов БД Signal для Android и Windows, используя для этого batch-скрипт WAVESIGN, малварь Infamous Chisel, скрипты PowerShell и утилиту Robocopy.
Кроме того, отмечается, что Signal — не единственный мессенджер, к которому хакеры проявляют интерес в последние месяцы. Например, в рамках похожей кампании Coldriver, целью атак становились аккаунты в WhatsApp, принадлежащие высокопоставленным дипломатам.
При этом связанную с привязкой устройств компрометацию трудно обнаружить и защититься от нее, поскольку сейчас не существует технических решений для мониторинга подобных угроз.
