Campanha usa falsa assistência do Signal, códigos de verificação e vinculação por QR code para assumir contas ou espelhar conversas sem explorar falha no aplicativo.
| Componente | Contas do Signal, recursos legítimos de registro, verificação em duas etapas e vinculação de dispositivos. |
| Vetor | Contato direto por perfis que se passam por suporte do Signal ou chatbot de segurança, com solicitação de PIN, código SMS ou leitura de QR code. |
| Impacto | Acesso não autorizado ao perfil, configurações, contatos, lista de bloqueio, mensagens recebidas e, no fluxo por dispositivo vinculado, conversas dos últimos 45 dias. |
| Prioridade | Ativar Registration Lock, revisar dispositivos vinculados, remover entradas desconhecidas e tratar qualquer pedido de PIN ou código como tentativa de tomada de conta. |
| Artefatos | Perfis falsos identificados como Signal Support ou Signal Security ChatBot foram usados para induzir a vítima a entregar credenciais de registro. |
| Limite de atribuição | A atividade atual não teve autoria confirmada; campanhas similares já foram associadas a grupos alinhados à Rússia, como Star Blizzard, UNC5792 e UNC4221. |
Autoridades alemãs alertaram para uma campanha de phishing direcionada a alvos de alto valor em política, forças militares, diplomacia e jornalismo investigativo na Alemanha e em outros países europeus. O ponto central da atividade é a tomada ou o espelhamento de contas do Signal por engenharia social, sem instalação de malware e sem exploração de vulnerabilidade conhecida no aplicativo de mensagens. A operação depende de recursos legítimos da plataforma, especialmente o fluxo de registro de conta, códigos enviados por SMS, PIN de verificação e vinculação de dispositivos por QR code.
O risco operacional não se limita à leitura de mensagens individuais. Uma conta de mensageria usada por pessoa com acesso a redes políticas, militares, diplomáticas ou jornalísticas pode revelar contatos, grupos, relações profissionais e janelas de comunicação sensíveis. Quando o invasor consegue usar a conta em nome da vítima, ele também pode enviar mensagens para terceiros com credibilidade herdada da identidade comprometida. Em grupos, esse acesso pode ampliar a exposição para redes inteiras de confiança, mesmo quando apenas uma conta é inicialmente afetada.
O primeiro fluxo observado começa com o contato direto da vítima por um perfil que se apresenta como Signal Support ou como Signal Security ChatBot. A abordagem usa urgência operacional: o alvo é informado de que precisa fornecer um PIN ou um código de verificação recebido por SMS para evitar perda de dados. Se a vítima entrega o código, o operador registra a conta em um dispositivo e número sob seu controle. Nesse cenário, o PIN ou o código não abre automaticamente o histórico antigo de conversas, mas permite que o invasor acesse perfil, configurações, lista de contatos e lista de bloqueio, além de capturar mensagens futuras e responder como se fosse o usuário legítimo.
Depois da tomada de conta, a vítima perde acesso ao próprio perfil e é novamente conduzida pelo falso chatbot a criar uma nova conta. Esse passo mantém a aparência de suporte técnico e reduz a chance de a pessoa interpretar o evento como comprometimento. Para defesa, esse detalhe é importante porque relatos internos de usuários que precisaram reativar ou recriar contas após contato com suposto suporte devem ser tratados como possível incidente de identidade, não como simples problema de usabilidade.
O segundo fluxo explora a vinculação de dispositivos. O operador convence a vítima a escanear um QR code, fazendo com que um dispositivo controlado pelo atacante seja adicionado à conta. Ao contrário do fluxo de registro, a vítima continua usando o Signal e pode não perceber a presença do dispositivo adicional. O impacto confirmado nesse cenário inclui acesso à conta, à lista de contatos e às mensagens dos últimos 45 dias disponíveis para o dispositivo vinculado. A persistência depende da manutenção desse vínculo, o que torna a revisão periódica de dispositivos autorizados uma etapa de controle essencial.
A mesma lógica pode ser adaptada para aplicativos com recursos parecidos de vinculação de dispositivo e proteção por PIN. O WhatsApp foi citado como plataforma que possui mecanismos similares de vinculação e verificação em duas etapas, o que torna o padrão de defesa reutilizável: nenhum fluxo legítimo de suporte deve exigir que o usuário envie PIN, código recebido por SMS ou aprove vinculação de dispositivo fora de um processo iniciado e validado pelo próprio usuário.
A superfície de exposição envolve contas de mensageria usadas por pessoas com acesso a informações sensíveis, e não uma versão vulnerável específica do Signal. Políticos, militares, diplomatas e jornalistas investigativos são alvos relevantes porque seus contatos e grupos podem revelar estruturas de decisão, fontes, investigações, agendas, interlocutores e relações institucionais. A campanha também ilustra um risco recorrente em ambientes de alta confiança: controles criptográficos fortes no transporte da mensagem não impedem comprometimento quando o processo de registro ou vinculação é autorizado indevidamente pelo próprio usuário enganado.
A ausência de malware reduz alguns sinais tradicionais de detecção em endpoint, como binários suspeitos, persistência local ou comunicação de comando e controle. Em compensação, aumenta o peso de telemetria de identidade, eventos de conta, mudanças de dispositivo e relatos de usuários. Organizações que protegem pessoas expostas publicamente devem tratar aplicativos de mensagens como parte da superfície de identidade, com procedimentos de resposta para perda de acesso, vinculação não reconhecida e pedidos externos de códigos de verificação.
- Contas do Signal pertencentes a políticos, militares, diplomatas e jornalistas investigativos.
- Ambientes em que grupos de mensagem concentram conversas sensíveis e redes de contato de alto valor.
- Usuários que recebem contato não solicitado de suposto suporte pedindo PIN, código SMS ou leitura de QR code.
A investigação deve começar por relatos de interação com perfis de suporte não solicitados, perda repentina de acesso à conta, necessidade inesperada de novo registro ou presença de dispositivos vinculados que o usuário não reconhece. Como a atividade não depende de exploração técnica no aplicativo, a coleta de evidências tende a vir de capturas do diálogo de phishing, horários de recebimento de códigos SMS, mudanças percebidas na sessão e revisão manual da lista de dispositivos autorizados. Para grupos sensíveis, administradores e equipes de segurança devem mapear se a conta comprometida participou de conversas com informações operacionais relevantes durante a janela de exposição.
No fluxo por código de verificação, sinais fortes incluem mensagens recebidas de identidades que usam nomes associados a suporte, pedidos de PIN em texto, ameaças de perda de dados e mudança abrupta de controle da conta. No fluxo por QR code, a vítima pode continuar ativa, então a principal pista é a presença de um dispositivo adicional. Quando houver suspeita, a resposta deve considerar que mensagens novas e conversas acessíveis ao dispositivo vinculado podem ter sido observadas. A análise deve evitar assumir exfiltração além do que a plataforma e a janela de acesso sustentam.
A atribuição deve ser tratada com cautela. O alerta menciona que a autoria da atividade não é conhecida. Ataques similares já foram conduzidos por grupos alinhados à Rússia rastreados como Star Blizzard, UNC5792, também conhecido como UAC-0195, e UNC4221, também conhecido como UAC-0185. Essa semelhança ajuda na comparação de TTPs, mas não confirma que a campanha atual pertença aos mesmos operadores.
- Contato direto por perfis chamados Signal Support ou Signal Security ChatBot.
- Solicitação de PIN do Signal, código de verificação por SMS ou escaneamento de QR code sob pretexto de suporte.
- Perda de acesso à conta seguida de orientação para criar novo perfil.
- Dispositivo vinculado desconhecido permanecendo ativo enquanto o usuário ainda consegue usar a conta.
- Mensagens enviadas pela conta da vítima em tom, horário ou contexto incompatível com o comportamento normal.
A principal mitigação é impedir que o processo de registro seja usado por terceiros. Usuários devem ativar Registration Lock no Signal, pois esse controle reduz a possibilidade de registrar o número em outro dispositivo sem o PIN correto. O PIN não deve ser enviado por mensagem, compartilhado com perfis de suporte ou inserido em fluxos iniciados por terceiros. Códigos de verificação recebidos por SMS também devem ser tratados como credenciais temporárias: quem solicita esse código está tentando concluir uma ação de registro ou controle de conta.
A segunda frente é a revisão de dispositivos vinculados. Contas de pessoas em funções sensíveis devem ter rotina de verificação periódica da lista de dispositivos, com remoção imediata de qualquer entrada desconhecida. Se um dispositivo não reconhecido for encontrado, a resposta deve incluir revogação do vínculo, troca do PIN quando aplicável, revisão das conversas acessíveis no período relevante e notificação aos grupos impactados quando houver risco de exposição de informações sensíveis.
Organizações que apoiam políticos, militares, diplomatas, jornalistas ou pesquisadores devem transformar esse alerta em procedimento de segurança de identidade. Treinamento isolado não basta: é necessário um canal interno para validar supostos contatos de suporte, um processo claro para reportar perda de conta e orientação específica para grupos de mensagem que concentram informação confidencial. Quando uma conta de alto valor é afetada, a contenção deve considerar não apenas o usuário, mas também os contatos e grupos que podem ter recebido mensagens fraudulentas ou tido conversas observadas.
- Ativar Registration Lock em contas do Signal usadas em comunicações sensíveis.
- Não informar PIN, código SMS ou dados de verificação a perfis que alegam ser suporte.
- Revisar dispositivos vinculados e remover qualquer entrada desconhecida.
- Tratar perda de acesso ou novo registro inesperado como incidente de identidade.
- Avisar contatos e grupos relevantes quando houver suspeita de mensagens enviadas pelo invasor ou exposição de conversas.
0 Comentários