Специалисты Google Threat Intelligence Group (TIG) обнаружили масштабную кампанию по компрометации популярного защищенного мессенджера Signal. Злоумышленники используют легитимную функцию привязки устройств (Linked Devices) для получения несанкционированного доступа к переписке пользователей.
Механизм атаки через QR-коды
Основной вектор атаки базируется на социальной инженерии с использованием вредоносных QR-кодов. Хакеры создают поддельные коды и различными способами побуждают жертв их сканировать, что приводит к несанкционированной синхронизации Signal с устройствами злоумышленников. Особую опасность представляет тот факт, что для успешной атаки не требуется полный взлом устройства жертвы.
Методы распространения вредоносных QR-кодов
Исследователи выявили несколько основных техник распространения вредоносных кодов. В массовых кампаниях злоумышленники маскируют их под легитимные приглашения в группы Signal или официальные инструкции по настройке устройств. При целевых атаках используются специально созданные фишинговые страницы, содержащие замаскированные QR-коды.
Модификация групповых приглашений
Отдельного внимания заслуживает техника модификации страниц приглашений в группы Signal. Хакеры подменяют стандартный JavaScript-код редиректа на вредоносный, который вместо добавления пользователя в группу активирует процесс привязки устройства злоумышленника. Визуально такие приглашения неотличимы от легитимных.
Дополнительные техники компрометации
Помимо эксплуатации функции Linked Devices, хакерские группы из России и Беларуси активно используют специализированные инструменты для извлечения сообщений из баз данных Signal. В их арсенал входят batch-скрипт WAVESIGN, вредоносное ПО Infamous Chisel и различные утилиты для работы с файловой системой.
Эксперты подчеркивают сложность обнаружения и предотвращения атак, использующих механизм привязки устройств. На данный момент не существует эффективных технических решений для мониторинга подобных угроз. Пользователям Signal рекомендуется проявлять повышенную бдительность при сканировании QR-кодов и регулярно проверять список привязанных устройств в настройках приложения.