Des acteurs malveillants affiliés aux services de renseignement russes mènent des campagnes d’hameçonnage pour compromettre des applications de messagerie commerciale (AMC) comme WhatsApp et Signal afin de prendre le contrôle de comptes appartenant à des individus possédant des renseignements de grande valeur, ont déclaré vendredi l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Bureau fédéral d’enquête (FBI).

« Cette campagne cible des individus hautement qualifiés en matière de renseignement, notamment des responsables gouvernementaux américains actuels et anciens, des militaires, des personnalités politiques et des journalistes », a déclaré Kash Patel, directeur du FBI , dans une publication sur X. « À l’échelle mondiale, cette opération a permis d’accéder sans autorisation à des milliers de comptes. Une fois l’accès obtenu, les auteurs peuvent consulter les messages et les listes de contacts, envoyer des messages en se faisant passer pour la victime et mener d’autres tentatives d’hameçonnage en utilisant une identité de confiance. »

Il est important de noter que ces attaques visent à accéder aux comptes CMA des victimes par hameçonnage et n’exploitent aucune faille de sécurité pour contourner le chiffrement des plateformes. Elles consistent à envoyer des messages conçus pour créer un faux sentiment d’urgence en prétendant avoir détecté une activité suspecte sur un compte ou des tentatives de connexion depuis un appareil ou un lieu inconnu.

Bien que les agences n’aient pas attribué l’activité à un acteur de menace spécifique, des rapports antérieurs de Microsoft et du Google Threat Intelligence Group ont lié de telles campagnes à de multiples groupes de menaces alignés sur la Russie, suivis sous les noms de Star Blizzard , UNC5792 (alias UAC-0195) et UNC4221 (alias UAC-0185) .

Dans une alerte similaire, le Centre de coordination des crises cybernétiques (C4), qui fait partie de l’Agence nationale de la cybersécurité (ANSSI), a mis en garde contre une recrudescence des campagnes d’attaques ciblant les comptes de messagerie instantanée associés à des responsables gouvernementaux, des journalistes et des chefs d’entreprise.

« Ces attaques, lorsqu’elles réussissent, peuvent permettre à des acteurs malveillants d’accéder à l’historique des conversations, voire de prendre le contrôle des comptes de messagerie de leurs victimes et d’envoyer des messages en se faisant passer pour elles », a déclaré C4 .

L’objectif final de cette campagne est de permettre aux auteurs de la menace d’obtenir un accès non autorisé aux comptes des victimes, leur permettant ainsi de consulter les messages et les listes de contacts, d’envoyer des messages en leur nom, et même de mener des attaques de phishing secondaires contre d’autres cibles en abusant de relations de confiance.

Comme l’ont récemment signalé les agences de cybersécurité allemandes et néerlandaises , cette attaque consiste pour un attaquant à se faire passer pour « Signal Support » afin d’approcher ses cibles et de les inciter à cliquer sur un lien (ou à scanner un code QR) ou à fournir leur code PIN ou de vérification. Dans les deux cas, cette technique d’ingénierie sociale permet aux auteurs de la menace d’accéder au compte CMA de la victime.

Cependant, la campagne a deux conséquences différentes pour la victime selon la méthode utilisée :

• Si la victime choisit de communiquer son code PIN ou de vérification à l’attaquant, elle perd l’accès à son compte, ce dernier l’ayant utilisé pour le récupérer. Bien que l’attaquant ne puisse pas accéder aux messages précédents, cette méthode lui permet de surveiller les nouveaux messages et d’en envoyer à des tiers en usurpant l’identité de la victime.
• Si la victime clique sur le lien ou scanne le code QR, un appareil contrôlé par le pirate est connecté à son compte, lui permettant d’accéder à tous ses messages, y compris les messages envoyés précédemment. Dans ce cas, la victime conserve l’accès à son compte CMA tant qu’elle ne l’a pas explicitement supprimé des paramètres de l’application.

Pour mieux se protéger contre cette menace, il est conseillé aux utilisateurs de ne jamais partager leur code SMS ou leur code PIN de vérification avec qui que ce soit , de faire preuve de prudence lorsqu’ils reçoivent des messages inattendus de contacts inconnus, de vérifier les liens avant de cliquer dessus et de vérifier périodiquement les appareils connectés et de supprimer ceux qui semblent suspects.

« Ces attaques, comme toutes les attaques de phishing, reposent sur l’ingénierie sociale. Les attaquants usurpent l’identité de contacts ou de services de confiance (tels que le prétendu “bot d’assistance Signal”) pour inciter les victimes à divulguer leurs identifiants de connexion ou d’autres informations », a déclaré Signal dans un article publié sur X au début du mois.

Pour éviter tout problème, sachez que votre code de vérification Signal par SMS n’est requis que lors de votre première inscription à l’application Signal. Nous tenons également à préciser que l’assistance Signal ne vous contactera *jamais* par le biais de messages intégrés à l’application, de SMS ou des réseaux sociaux pour vous demander votre code de vérification ou votre code PIN. Toute demande de code relatif à Signal est une tentative d’escroquerie.