Злоумышленники используют мессенджер Signal для взлома пользователей

По данным Google Threat Intelligence Group (GTIG), для этого применяется способность «связанных устройств», позволяющая использовать Signal на нескольких устройствах одновременно. Об этом передаёт Securitylab.

В ходе атак, зафиксированных аналитиками, киберпреступники создают вредоносные QR-коды. Если жертва сканирует такой код, её аккаунт в Signal привязывается к устройству злоумышленников. В результате все сообщения передаются в реальном времени как владельцу, так и атакующим, позволяя им незаметно перехватывать переписку.

QR-коды маскируются под приглашения в группы, уведомления о безопасности или инструкции для привязки нового устройства, якобы с официального сайта Signal. Также они встраиваются в фишинговые страницы, выдающие себя за специализированные приложения.

Среди применяемых техник также обнаружен вредоносный JavaScript-код PINPOINT, собирающий базовую информацию о пользователе и его местоположении. Помимо него было выявлено использование инструментов для эксфильтрации данных, таких как WAVESIGN — PowerShell-скрипта для атаки на Signal, а также Robocopy — утилиты для извлечения сообщений с заражённых устройств.

В Google подчёркивают, что атаки на защищённые мессенджеры набирают обороты, а злоумышленники ищут всё новые способы перехвата сообщений. В некоторых случаях они даже получают физический доступ к разблокированным устройствам пользователей.