MADRID, 19 (Portaltic/EP)
Expertos en ciberseguridad han advertido sobre un aumento en las campañas de ataques de agentes maliciosos asociados al gobierno ruso, como es el caso de Sandworm, que ataca a usuarios ucranianos a través de códigos QR maliciosos que explotan la función de dispositivos vinculados de Signal Messenger, lo que les permite acceder a los mensajes de la víctima en tiempo real para espiarlos.
Signal Messenger es de una aplicación de mensajería instantánea basada en la privacidad, lo que la hace popular entre objetivos comunes en las actividades de vigilancia y espionaje, como son los políticos, militares, periodistas y activistas, además de otros colectivos en riesgo.
En este sentido, el Threat Intelligence Group de Google ha informado sobre un aumento en los ciberataques de ‘hackers’ asociados al gobierno ruso, que tratan de acceder a cuentas de esta plataforma utilizadas por objetivos de interés, mediante códigos QR maliciosos, para después ofrecer esta información a los servicios de inteligencia rusa.
Así lo han compartido los expertos en ciberseguridad de Google, en el marco de una nueva investigación en la que analizan este incremento en la actividad maliciosa por parte de varios agentes de amenazas alineados con el Gobierno ruso desde el pasado año, como parte de un interés emergente que responde al “imperativo bélico de acceder a comunicaciones gubernamentales y militares sensibles”, en el contexto de la invasión rusa a Ucrania.
En este sentido, la investigación describe varias tácticas utilizadas por los actores maliciosos para acceder a cuentas de Signal, entre ellas, la más ampliamente utilizada ha sido la de explotar la función legítima de dispositivos vinculados de Signal, que permite utilizar la red social en varios dispositivos al mismo tiempo.
Para activar esta función, los usuarios han de escanear un código QR desde el dispositivo que deseen vincular. Sin embargo, los ciberdelincuentes engañan a las víctimas, que habitualmente son personal militar y gubernamental ucraniano, para que escaneen códigos QR maliciosos que vinculan su cuenta de Signal a una instancia de la red social controlada por los actores maliciosos.
Así, una vez las víctimas escanean los códigos QR, los actores maliciosos consiguen acceso a los mensajes de la víctima en tiempo real y, por tanto, les permite realizar una vigilancia a largo plazo de la información que se mueve por los chats, todo ello sin ser detectados.
Esta táctica ha sido identificada en el grupo de amenazas ruso conocido como Sandworm (APT44), quienes han llevado a cabo operaciones de ‘phishing’ remoto para realizar estos ataques, ocultando los activos maliciosos como “recursos legítimos de la propia aplicación”.
INVITACIONES MODIFICADAS PARA UNIRSE A GRUPOS DE SIGNAL
Siguiendo esta línea, el Threat Intelligence Group de Google también ha advertido que otro método de comprometer cuentas de Signal, igualmente, mediante el procedimiento de vinculación de dispositivos, ha sido recurriendo a la alteración de páginas legítimas de invitaciones a grupos.
Este método, que se ha identificado por parte del grupo de espionaje ruso denominado UNC5792, se basa en redirigir a la víctima a una URL maliciosa, en lugar de un grupo de Signal real. De esta forma, se trata de una URL que vincula la cuenta de Signal de la víctima a un dispositivo controlado por el actor malicioso para acceder a sus conversaciones.
Por otra parte, desde Google han identificado otro agente de amenazas vinculado a Rusia, al que se refieren como UNNC4221, que ha desarrollado un kit de ‘phishing’ de Signal, diseñado específicamente para imitar determinados elementos de la aplicación que emplean las Fuerzas Armadas de Ucrania, Kropyva.
Según han explicado, con este kit, los ciberdelincuentes también hacen pasar la funcionalidad de vinculación de dispositivos por una invitación a un grupo de Signal procedente de un contacto de confianza.
CRECIMIENTO EN LOS ATAQUES A APLICACIONES DE MENSAJERÍA
Con todo ello, en paralelo con otras tendencias del panorama de amenazas analizadas por Google, como es el aumento del ‘software’ espía “comercial” y el auge de variantes de ‘malware’ para dispositivos móviles en zonas con conflictos activos, los expertos en ciberseguridad han concluido que existe “una demanda clara y en crecimiento” de cibercapacidades ofensivas, que puedan emplearse para vigilar comunicaciones sensibles de personas que utilizan aplicaciones de mensajería seguras para su actividad en línea.
Según han advertido desde Google Threat Intelligence Group, es probable que las tácticas y métodos utilizados para atacar la red social Signal “ganen prevalencia a corto plazo y se extiendan a otras regiones y agentes de amenazas”, de forma independiente al escenario de la guerra en Ucrania.
Asimismo, de una forma más amplia, estas amenazas se extienden igualmente a otras aplicaciones de mensajería muy utilizadas como WhatsApp y Telegram, que también están siendo atacadas activamente por grupos de amenazas alineados con Rusia, con técnicas similares.
MEDIDAS DE SEGURIDAD
Teniendo todo ello en cuenta, Google Threat Intelligence ha compartido algunos detalles a tener en cuenta para mejorar la seguridad de los usuarios a la hora de utilizar estas aplicaciones de mensajería.
En este sentido, los expertos recomiendan activar el bloqueo de pantalla en todos los dispositivos móviles, utilizando una contraseña larga y compleja formada por letras mayúsculas, minúsculas, números y símbolos.
Igualmente, también han señalado la importancia de instalar “lo antes posible” cualquier actualización de sistema operativo y utilizar la última versión de Signal o de cualquier otra aplicación de mensajería.
Asimismo, es relevante comprobar de forma regular qué dispositivos están vinculados, para detectar posibles dispositivos no autorizados, así como desconfiar de códigos QR o recursos web que simulen ser actualizaciones de ‘software’ o invitaciones para unirse a grupos.
Por otra parte, en el caso de dispositivos Android, es aconsejable mantener activada la función Google Play Protect, de manera que cuando se detecte una aplicación con un comportamiento malicioso conocido, avise al usuario o la bloquee, incluso si procede de una fuente ajena a Google Play. En lo relativo a usuarios de iPhone, Google sugiere utilizar el modo bloqueo del dispositivo para “reducir su superficie de ataque”.
- Te recomendamos -
