Українські фахівці розкрили нову схему кібератак на військових через месенджер Signal

Урядова команда реагування на компʼютерні надзвичайні події CERT-UA зафіксувала непоодинокі випадки цільових кібератак, метою яких є українські військові та співробітники оборонних підприємств. Фішингові атаки здійснюються через месенджер Signal, повідомляє сайт CERT-UA.

Протягом березня 2025 року у месенджері Signal виявлено факти розсилки повідомлень, до яких прикріплено архів з нібито звітом про результати наради. У деяких випадках для підвищення довіри відправка повідомлень могла здійснюватися від людини, яка є в списку існуючих контактів, чий обліковий запис раніше було зламано.

Архів, прикріплений до повідомлення, містить файл з розширенням .pdf, а також виконуваний файл, класифікований як DarkTortilla, що є програмним засобом типу cryptor/loader, який під час запуску розшифровує та запускає троян віддаленого доступу Dark Crystal RAT (DCRAT).

Активність, пов’язана з цією атакою, відслідковується за ідентифікатором UAC-0200, щонайменше, з літа 2024 року. Починаючи з лютого 2025 року зміст повідомлень-приманок стосується БПЛА, засобів РЕБ тощо.

Нагадаємо, що в лютому 2025 року команда Google Threat Intelligence Group повідомила, що російські хакери зловживали функцією «Пов’язані пристрої» в Signal, щоб отримати несанкціонований доступ до облікових записів українських військових.

Користувачі Signal, які вважають себе потенційними цілями шпигунських і фішингових атак, повинні вимкнути автоматичне завантаження вкладень і бути обережними з усіма повідомленнями, особливо з файлами. Рекомендовано регулярно перевіряти список пов’язаних пристроїв у Signal, щоб не стати проксі-сервером для атак.

Також користувачі Signal треба оновити свій застосунок обміну повідомленнями до останньої версії на всіх платформах і ввімкнути двофакторну аутентифікацію для додаткового захисту облікових записів.