Hackers russos estão conduzindo sofisticadas campanhas de phishing, aproveitando o recurso de “Dispositivos Vinculados” do Signal para obter acesso não autorizado a contas de usuários. Ao explorar essa funcionalidade legítima, os invasores conseguem monitorar mensagens sem precisar comprometer totalmente o dispositivo da vítima.
Como funciona o phishing de vinculação de dispositivos
O recurso de vinculação de dispositivos do Signal permite que os usuários sincronizem suas mensagens em diferentes aparelhos, como tablets e computadores. No entanto, os cibercriminosos exploram essa funcionalidade de maneira maliciosa, usando códigos QR fraudulentos para vincular contas a dispositivos controlados por eles.
Os agentes de ameaças disfarçam os códigos maliciosos como convites de grupo legítimos do Signal ou instruções de pareamento de dispositivos, enganando as vítimas para que façam a leitura do código QR. Isso permite que as mensagens sejam sincronizadas com o dispositivo do invasor, permitindo a espionagem sem que o alvo perceba.
Grupos russos por trás das campanhas
Pesquisadores do Google Threat Intelligence Group (GTIG) identificaram que grupos alinhados ao Estado russo estão por trás dessas campanhas de phishing. Entre eles, destaca-se o grupo Sandworm (também conhecido como Seashell Blizzard ou APT44), conhecido por suas sofisticadas operações de espionagem.
Em ataques direcionados, os cibercriminosos utilizam páginas de phishing projetadas para enganar alvos específicos, como militares e diplomatas. Os códigos QR maliciosos são integrados a convites de grupo falsos, hospedados em sites que imitam páginas legítimas do Signal.
Novas táticas de espionagem digital
O GTIG revelou que as operações de espionagem também envolvem a modificação de páginas de convite legítimas, redirecionando as vítimas para URLs maliciosas. Ao aceitar o convite falso, a conta do Signal é conectada a um dispositivo controlado pelos invasores, permitindo que eles monitorem conversas sem serem detectados.
Esse método foi observado em atividades rastreadas como UNC5792, um grupo de espionagem digital com ligações a tentativas de comprometer contas do WhatsApp, conforme relatado pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA).
Notícias Relacionadas
Ameaça digital
Malware para Android usa .NET MAUI para burlar detecção e roubar dados
Novas campanhas de malware para Android utilizam o .NET MAUI da Microsoft para evitar detecção, disfarçando-se como aplicativos legítimos. A McAfee identificou falsos apps bancários e de comunicação que roubam dados pessoais e financeiros.
Segurança cibernética
Pesquisadores revelam 200 domínios C2 associados ao malware Raspberry Robin
Pesquisadores identificaram quase 200 domínios C2 usados pelo malware Raspberry Robin, um corretor de acesso inicial para grupos cibercriminosos, incluindo hackers russos.
Phishing personalizado para alvos militares
Outro grupo russo, identificado como UNC4221, desenvolveu um kit de phishing especificamente para atingir contas do Signal de militares ucranianos. Esses ataques se disfarçam como o software Kropyva, amplamente utilizado pelas Forças Armadas da Ucrânia para mapeamento e orientação de artilharia.
Os hackers criam sites falsos que imitam instruções legítimas do Signal, usando URLs como “signal-confirm[.]site” para parecerem confiáveis. Além disso, os invasores distribuem códigos QR maliciosos por meio de phishing temático e alertas de segurança falsos.
Desafios na detecção e proteção
Esse tipo de ataque é extremamente difícil de detectar, pois não há solução técnica para monitorar dispositivos recém-vinculados. Quando bem-sucedido, o comprometimento pode passar despercebido por longos períodos, representando um risco significativo à segurança das comunicações.
Os usuários do Signal são aconselhados a:
- Manter o aplicativo sempre atualizado, pois as versões recentes incluem proteções aprimoradas contra phishing.
- Ativar o bloqueio de tela com uma senha longa e complexa para proteger o acesso ao aplicativo.
- Verificar regularmente a lista de dispositivos vinculados na conta do Signal.
- Ser cauteloso ao escanear códigos QR, especialmente de fontes não verificadas.
- Habilitar a autenticação de dois fatores para aumentar a segurança.
Conclusão: evolução das táticas de phishing
As campanhas de phishing russas explorando a vinculação de dispositivos no Signal demonstram o avanço das táticas cibernéticas usadas por grupos de espionagem digital. Ao abusarem de recursos legítimos, os invasores conseguem acessar contas sem comprometer fisicamente os dispositivos, aumentando a dificuldade de detecção.
A segurança digital exige constante vigilância e atualizações de segurança para mitigar riscos crescentes. O caso ressalta a importância de práticas de segurança cibernética robustas, como a verificação de dispositivos vinculados e a desconfiança de links e códigos QR desconhecidos.
