La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y el Buró Federal de Investigaciones (FBI) anunciaron el viernes que atacantes afiliados a agencias de inteligencia rusas están llevando a cabo una campaña de phishing para comprometer aplicaciones de mensajería comerciales (CMA) como WhatsApp y Signal y tomar el control de las cuentas de personas con alto valor de inteligencia.
«Esta campaña está dirigida a personas de alto valor de inteligencia, incluidos funcionarios gubernamentales actuales y anteriores de los EE. UU., personal militar, políticos y periodistas», dijo el director del FBI, Kash Patel, en una publicación en X. «A nivel mundial, este esfuerzo ha resultado en un acceso no autorizado a miles de cuentas personales. Una vez que los atacantes obtienen acceso, pueden ver mensajes y listas de contactos, enviar mensajes como víctimas y realizar phishing adicional desde una identidad confiable».
CISA y el FBI dijeron que la operación comprometió miles de cuentas personales de CMA. Vale la pena señalar que este ataque está diseñado para infiltrarse en la cuenta del objetivo y no aprovecha ninguna vulnerabilidad o debilidad de seguridad para romper la protección de cifrado de la plataforma.
Aunque la agencia no atribuyó esta actividad a un actor de amenazas específico, informes anteriores de Microsoft y Google Threat Intelligence Group vincularon estas campañas con múltiples grupos de amenazas alineados con Rusia rastreados como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185).
En una advertencia similar, el Centro de Coordinación de Crisis Cibernética (C4), parte de la Agencia Nacional de Seguridad Cibernética de Francia (ANSSI), advirtió sobre un aumento en las campañas de ataque dirigidas a cuentas de mensajería instantánea asociadas con funcionarios gubernamentales, periodistas y líderes empresariales.
«Ataques exitosos como estos podrían permitir a un atacante malicioso acceder al historial de conversaciones o tomar el control de la cuenta de mensajería de una víctima para enviar mensajes haciéndose pasar por ella», dijo C4.
El objetivo final de esta campaña es brindarle al atacante acceso no autorizado a la cuenta de la víctima, permitiéndole ver mensajes y listas de contactos, enviar mensajes en nombre de la víctima e incluso explotar relaciones de confianza para realizar phishing secundario en otros objetivos.
Como advirtieron recientemente las agencias de ciberseguridad alemana y holandesa, este ataque implica que un adversario se acerque a un objetivo bajo el disfraz de «Soporte de señales» y le solicite que haga clic en un enlace (o, alternativamente, escanee un código QR) o proporcione un PIN o un código de verificación. En ambos casos, el esquema de ingeniería social permite al atacante obtener acceso a la cuenta CMA de la víctima.
Sin embargo, esta campaña tiene dos resultados diferentes para las víctimas según el método utilizado.
Si la víctima elige proporcionar un PIN o un código de verificación al actor de la amenaza, el atacante usa ese código para recuperar la cuenta de la víctima y la víctima ya no tiene acceso a la cuenta. Aunque el atacante no puede acceder a mensajes anteriores, este método se puede utilizar para monitorear mensajes nuevos o enviar mensajes a otras personas haciéndose pasar por la víctima. Una vez que la víctima hace clic en el enlace o escanea el código QR, un dispositivo bajo el control del actor de la amenaza se vinculará a la cuenta de la víctima, dándole acceso a todos los mensajes, incluidos los mensajes enviados previamente. En este escenario, la víctima seguirá teniendo acceso a su cuenta CMA a menos que se elimine explícitamente de la configuración de la aplicación.
Para protegerse mejor contra esta amenaza, recomendamos que los usuarios nunca compartan su código SMS o PIN de verificación con nadie, tengan cuidado si reciben un mensaje inesperado de un contacto desconocido, verifiquen los enlaces antes de hacer clic en ellos y revisen periódicamente los dispositivos vinculados y eliminen aquellos que parezcan sospechosos.
«Como todos los ataques de phishing, estos ataques se basan en la ingeniería social, donde los atacantes se hacen pasar por contactos o servicios confiables (como el inexistente ‘Signal Support Bot’) para engañar a las víctimas para que entreguen sus credenciales de inicio de sesión u otra información», dijo Signal en una publicación en X a principios de este mes.
«Para evitar esto, recuerde que el código de verificación por SMS de Signal solo es necesario la primera vez que se registra en la aplicación Signal. También queremos enfatizar que el soporte de Signal *nunca* inicia el contacto a través de mensajes dentro de la aplicación, SMS o redes sociales solicitando un código de verificación o PIN. Si alguien solicita un código relacionado con Signal, es una estafa».
Source link
