Los actores de amenazas afiliados a los servicios de inteligencia rusos están llevando a cabo campañas de suplantación de identidad para comprometer aplicaciones comerciales de mensajería (CMA) como WhatsApp y Signal y hacerse con el control de las cuentas de personas con un alto valor de inteligencia, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) y la Oficina Federal de Investigaciones (FBI) dijo viernes.

«La campaña se dirige a personas de alto valor de inteligencia, incluidos funcionarios actuales y anteriores del gobierno de los Estados Unidos, personal militar, figuras políticas y periodistas», dijo el director del FBI, Kash Patel dijo en una publicación en X. «A nivel mundial, este esfuerzo ha dado lugar a un acceso no autorizado a miles de cuentas individuales. Tras obtener acceso, los actores pueden ver los mensajes y las listas de contactos, enviar mensajes en nombre de la víctima y llevar a cabo más actividades de suplantación de identidad desde una identidad fiable».

La CISA y el FBI dijeron que la actividad ha provocado el compromiso de miles de cuentas individuales de la CMA. Vale la pena señalar que los ataques están diseñados para entrar en las cuentas objetivo y no aprovechan ninguna vulnerabilidad o debilidad de seguridad para romper las protecciones de cifrado de las plataformas.

adsense

Si bien las agencias no atribuyeron la actividad a un actor de amenazas específico, informes anteriores de Microsoft y Google Threat Intelligence Group vincularon dichas campañas con varios grupos de amenazas alineados con Rusia rastreados como Star Blizzard , UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185) .

En una alerta similar, el Centro de Coordinación de Crisis Cibernéticas (C4), que forma parte de la Agencia Nacional de Ciberseguridad de Francia (ANSSI), advirtió sobre el aumento de las campañas de ataque contra cuentas de mensajería instantánea asociadas a funcionarios gubernamentales, periodistas y líderes empresariales.

«Estos ataques, cuando tienen éxito, pueden permitir a los actores malintencionados acceder al historial de conversaciones o incluso tomar el control de las cuentas de mensajería de sus víctimas y enviar mensajes mientras se hacen pasar por ellas», C4 dijo .

El objetivo final de la campaña es permitir que los actores de amenazas obtengan acceso no autorizado a las cuentas de las víctimas, permitiéndoles ver los mensajes y las listas de contactos, enviar mensajes en su nombre e incluso realizar una suplantación de identidad secundaria contra otros objetivos mediante el abuso de las relaciones de confianza.

Como alertaron recientemente las agencias de ciberseguridad de Alemania y los Países Bajos , el ataque implica el adversario se hace pasar por «Signal Support» para acercarse a los objetivos e instarlos a hacer clic en un enlace (o, alternativamente, escanear un código QR) o a proporcionar el PIN o el código de verificación. En ambos casos, el plan de ingeniería social permite a los atacantes acceder a la cuenta de CMA de la víctima.

Sin embargo, la campaña tiene dos resultados diferentes para la víctima según el método utilizado:

  • Si la víctima opta por proporcionar el PIN o el código de verificación al autor de la amenaza, pierde el acceso a su cuenta, ya que el atacante la ha utilizado para recuperar la cuenta por su parte. Si bien el autor de la amenaza no puede acceder a los mensajes anteriores, el método se puede utilizar para supervisar los mensajes nuevos y enviar mensajes a otras personas haciéndose pasar por la víctima.
  • Si la víctima termina haciendo clic en el enlace o escaneando el código QR, un dispositivo bajo el control del actor de la amenaza se vincula a la cuenta de la víctima, lo que le permite acceder a todos los mensajes, incluidos los enviados en el pasado. En este caso, la víctima sigue teniendo acceso a la cuenta de la CMA a menos que se la elimine explícitamente de la configuración de la aplicación.
enlaces

Para protegerse mejor contra la amenaza, se recomienda a los usuarios que nunca compartas sus Código SMS o PIN de verificación con cualquier persona , ten cuidado al recibir mensajes inesperados de contactos desconocidos, comprueba los enlaces antes de hacer clic en ellos y revisa periódicamente los dispositivos enlazados y elimina los que parezcan sospechosos.

«Estos ataques, como todos los ataques de suplantación de identidad, se basan en la ingeniería social. Los atacantes se hacen pasar por contactos o servicios de confianza (como el inexistente «robot de soporte Signal») para engañar a las víctimas para que les entreguen sus credenciales de inicio de sesión u otra información», dijo Signal dijo en una publicación en X a principios de este mes.

«Para evitar esto, recuerda que tu código de verificación por SMS de Signal solo es necesario cuando te registras por primera vez en la aplicación Signal. También queremos recalcar que el equipo de asistencia de Signal *nunca* contactará a través de mensajes integrados en la aplicación, SMS o redes sociales para pedirte tu código de verificación o PIN. Si alguien te pide un código relacionado con Signal, se trata de una estafa».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.