Команда Google Threat Intelligence Group (TIG) виявила масштабну кампанію кібератак, спрямовану на користувачів захищеного месенджера Signal. Зловмисники винайшли витончений спосіб отримання несанкціонованого доступу до листування користувачів через експлуатацію легітимної функції прив’язки пристроїв (Linked Devices).
Технічні особливості атаки через QR-коди
Основним вектором компрометації є соціальна інженерія з використанням шкідливих QR-кодів. Критична особливість цієї атаки полягає в тому, що для її успішного проведення не потрібен повний доступ до пристрою жертви. Зловмисники створюють спеціально сформовані QR-коди, які при скануванні ініціюють процес несанкціонованої синхронізації Signal з пристроями атакуючих.
Стратегії поширення шкідливих кодів
Дослідники безпеки ідентифікували кілька основних методів розповсюдження малваре. При масових атаках використовуються підроблені запрошення до груп Signal та фальшиві інструкції з налаштування пристроїв. Для цільових атак створюються спеціалізовані фішингові веб-сторінки з прихованими шкідливими QR-кодами.
Маніпуляції з груповими запрошеннями
Особливо небезпечною є техніка модифікації сторінок групових запрошень Signal. Зловмисники впроваджують шкідливий JavaScript-код, який підміняє стандартний процес додавання до групи на процедуру прив’язки стороннього пристрою. Візуально такі модифіковані запрошення неможливо відрізнити від легітимних.
Додаткові інструменти компрометації
Хакерські угруповання використовують комплексний набір інструментів для отримання доступу до повідомлень Signal. Серед виявленого шкідливого програмного забезпечення – утиліта WAVESIGN, шкідливе ПЗ Infamous Chisel та спеціалізовані засоби для маніпуляцій з файловою системою месенджера.
Враховуючи складність виявлення подібних атак технічними засобами, користувачам Signal рекомендується дотримуватися базових правил цифрової гігієни: регулярно перевіряти список прив’язаних пристроїв у налаштуваннях, з обережністю ставитися до сканування QR-кодів та використовувати двофакторну автентифікацію, де це можливо. Також важливо своєчасно оновлювати додаток до останньої версії, оскільки розробники Signal активно працюють над усуненням виявлених вразливостей.
