Riasztást adott ki az ukrán számítógépes katasztrófaelhárító csoport

A CERT-UA közleménye szerint a támadások ebben a hónapban kezdődtek. A támadók megtévesztő Signal-üzeneteket küldenek, amelyek megbeszélésekről szóló jelentéseknek álcázott archívumokat tartalmaznak. Mivel az üzenetek némelyike a célpontok ismerőseinek fiókjairól érkezik, nagyobb az esély arra, hogy a címzettek megnyitják a mellékleteket.

A fertőző archívum egy PDF fájlt és egy futtatható állományt tartalmaz. A PDF csaliként szolgál, hogy az áldozatok megnyissák és elindítsák a második fájlt, amely egy DarkTortilla nevű cryptor/loader. Ez a program a futtatás során visszafejti és végrehajtja a Dark Crystal RAT (DCRAT) nevű távoli hozzáférést biztosító trójai program parancsát.

A CERT-UA a támadást az UAC-0200 jelű fenyegetéscsoporthoz köti, amely 2024 júniusa óta használja a Signal platformot hasonló támadásokhoz.

A Google Threat Intelligence Group (GTIG) 2025 februárjában jelentette, hogy orosz hackerek visszaéltek a Signal "Linked Devices" funkciójával, hogy jogosulatlan hozzáférést szerezzenek egyes fiókokhoz.

A CERT-UA és a GTIG szakértői azt javasolják a Signal-felhasználóknak, hogy kapcsolják ki az automatikus fájlletöltést, és legyenek óvatosak a mellékleteket tartalmazó üzenetekkel. Emellett ajánlott rendszeresen ellenőrizni a Signalban a kapcsolt eszközök listáját, valamint engedélyezni a kétfaktoros hitelesítést és mindig a legfrissebb verziót használni a biztonság érdekében.

A címlapkép illusztráció. Címlapkép forrása: Portfolio