El FBI y CISA actualizaron sus advertencias de marzo sobre el phishing de la inteligencia rusa a las cuentas de Signal, agregando nuevos pasos para los operadores. Ahora puede inducir al objetivo a que le entregue la clave de recuperación de la copia de seguridad de Signal.
Una vez entregada, el atacante puede restaurar las copias de seguridad de la cuenta, leer el historial de mensajes privados y grupales y hacerse cargo de la cuenta. Peor aún, las llaves siguen funcionando. Incluso si crea una cuenta nueva con el mismo número de teléfono, aún puede usar su clave anterior, advierte el aviso.
La solución es sencilla. Genera una nueva clave en tu configuración. Esto eliminará la clave antigua para futuras descargas de copias de seguridad, aceptando que todo lo que el atacante ya haya obtenido se perderá.
El aviso actualizado, PSA I-062626-PSA, agrega dos nombres de seguimiento público que faltaban en el aviso de marzo: UNC5792 y UNC4221. El FBI ha vinculado esta actividad a múltiples grupos del Servicio de Inteligencia Ruso (RIS), incluido el personal del FSB adscrito a la Guardia Fronteriza del FSB y otro personal que trabaja para el ejército ruso. Esta campaña es para cuentas de Signal y WhatsApp. Las nuevas tácticas clave de recuperación descritas en el aviso son específicas de Signal.
Los objetivos incluyen personas de alto valor en inteligencia, incluidos funcionarios gubernamentales actuales y anteriores de Estados Unidos e internacionales, personal militar, políticos, periodistas y funcionarios ucranianos. El aviso de marzo decía que la campaña generalizada ya había comprometido miles de cuentas en todo el mundo.
Los mensajes de phishing se hacen pasar por Signal Support. Las oleadas anteriores requerían un código de verificación por SMS y un PIN de cuenta, o utilizaban enlaces modificados de «invitación grupal» que vinculaban silenciosamente el dispositivo del atacante a la cuenta.
La versión actualizada guiará al objetivo para habilitar la copia de seguridad de Signal, abrir la clave de recuperación y pegarla en el chat. Este aviso genera dos mensajes de muestra. Uno está disfrazado de implementación obligatoria de dos factores y el otro aparece como una solución de emergencia de «recuperación de datos» para mensajes que parecen estar en riesgo de pérdida.
Al igual que en marzo, la agencia aclaró que nada de esto rompe el cifrado de Signal ni la aplicación en sí. Los atacantes comprometen cuentas individuales mediante ingeniería social y obtienen acceso a través de funciones legítimas.
Paralelamente a esta actualización, el Programa de Recompensas de Justicia del Departamento de Estado otorgará hasta $10 millones por información sobre UNC5792.
Esta actividad coincide con advertencias de los servicios de inteligencia holandeses (AIVD y MIVD), BfV y BSI de Alemania y ANSSI de Francia a principios de este año. El Threat Intelligence Group de Google documentó por primera vez que UNC5792 abusaba de la función Link Devices de Signal a principios de 2025, y vimos la misma técnica manifestarse contra WhatsApp y Telegram.
que hacer ahora
Trate los mensajes dentro de la aplicación de «Sign Support» como hostiles. Real Support no le enviará mensajes solicitando códigos, PIN o claves de recuperación dentro de la aplicación. No pegue su clave de recuperación de respaldo, código de verificación o PIN en sus chats. Nada correcto les exige que lo hagan. Abra (Configuración), marque (Dispositivos vinculados) y elimine todo lo que no reconozca. Si cree que ha regalado su clave de recuperación, genere una nueva ahora (en Configuración) y asuma que cualquier copia de seguridad creada anteriormente ya está en manos de otra persona.
Un aviso de marzo advertía de un cambio de táctica. Pasan del seguimiento de códigos únicos a la obtención de claves que abren archivos completos. Se conserva el cifrado. La cuenta es el eslabón débil y la persona que la tiene se convierte en el objetivo.
Source link
