Los atacantes pueden ver mensajes y listas de contactos de la víctima
Agentes cibernéticos afiliados a los servicios de inteligencia rusos están llevando a cabo campañas de phishing para comprometer aplicaciones de mensajería comercial (CMA, por sus siglas en inglés) como WhatsApp y Signal, con el fin de tomar el control de cuentas pertenecientes a personas con alto valor de inteligencia, según informaron el viernes la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) y la Oficina Federal de Investigación (FBI).
"La campaña tiene como objetivo a personas de alto valor para la inteligencia, incluyendo funcionarios actuales y anteriores del gobierno estadounidense, personal militar, figuras políticas y periodistas", declaró en una publicación en X el director del FBI, Kash Patel.
"A nivel mundial, esta operación ha resultado en el acceso no autorizado a miles de cuentas individuales. Una vez que obtienen acceso, los atacantes pueden ver mensajes y listas de contactos, enviar mensajes haciéndose pasar por la víctima y realizar ataques de phishing adicionales desde una identidad de confianza".
Cabe destacar que estos ataques están diseñados para acceder a las cuentas de CMA de las víctimas mediante phishing y no explotan ninguna vulnerabilidad o debilidad de seguridad para vulnerar las protecciones de cifrado de las plataformas. Consisten en el envío de mensajes diseñados para generar una falsa sensación de urgencia, alegando que se ha detectado actividad sospechosa en la cuenta o intentos de inicio de sesión desde un dispositivo o ubicación desconocidos.
Aunque las agencias no atribuyeron la actividad a un actor de amenazas específico, informes anteriores de Microsoft y Google Threat Intelligence Group han vinculado dichas campañas con múltiples grupos de amenazas alineados con Rusia, conocidos como Star Blizzard, UNC5792 (también conocido como UAC-0195) y UNC4221 (también conocido como UAC-0185).
En una alerta similar, el Centro de Coordinación de Crisis Cibernéticas (C4), que forma parte de la Agencia Nacional de Ciberseguridad de Francia (ANSSI), advirtió sobre un aumento en las campañas de ataque dirigidas a cuentas de mensajería instantánea asociadas con funcionarios gubernamentales, periodistas y líderes empresariales.
"Estos ataques, cuando tienen éxito, pueden permitir a los ciberdelincuentes acceder al historial de conversaciones, o incluso tomar el control de las cuentas de mensajería de sus víctimas y enviar mensajes haciéndose pasar por ellas", dijo C4.
El objetivo final de la campaña es permitir que los ciberdelincuentes obtengan acceso no autorizado a las cuentas de las víctimas, lo que les permite ver mensajes y listas de contactos, enviar mensajes en su nombre e incluso realizar ataques de phishing secundarios contra otros objetivos abusando de relaciones de confianza.
Tal como alertaron recientemente las agencias de ciberseguridad de Alemania y los Países Bajos, el ataque consiste en que el atacante se hace pasar por "Soporte Técnico" para contactar a las víctimas e instarlas a hacer clic en un enlace (o escanear un código QR) o proporcionar el PIN o el código de verificación. En ambos casos, esta técnica de ingeniería social permite a los ciberdelincuentes acceder a la cuenta CMA de la víctima.
