A Agência de Segurança de Cibersegurança e Infraestrutura emitiu um alerta de que operadores comerciais de spyware estão mirando plataformas de mensagens para implantar exploits zero-click em dispositivos pessoais. A agência relata que os atacantes têm se concentrado em indivíduos de alto valor, incluindo funcionários do governo, membros da sociedade civil e figuras seniores do setor privado. De acordo com o aviso, programas de mensagens criptografadas estão sendo usados como canais de entrega porque atacantes podem manipular recursos de dispositivos vinculados e ferramentas de recuperação de contas.
A CISA afirmou que as atividades recentes envolveram WhatsApp, Signal e Telegram. De acordo com o aviso, os agentes ameaçadores estão usando vulnerabilidades zero-click e técnicas de engenharia social que lhes permitem comprometer dispositivos sem qualquer interação da vítima. Uma vez dentro de um dispositivo, os operadores podem implantar cargas úteis adicionais para ampliar o acesso, coletar dados ou monitorar as comunicações. A agência observou que essas operações foram observadas em várias regiões e refletem o interesse contínuo em espionagem direcionada a dispositivos móveis.
Técnicas e alvos identificados
O comunicado observa que muitas vítimas ocupam funções ligadas à diplomacia, defesa ou tomada de decisões políticas. Pesquisadores do Grupo de Inteligência de Ameaças do Google e da Unidade 42 de Palo Alto identificaram campanhas em que atores ligados à Rússia usaram o recurso de dispositivos vinculados do Signal para espelhar contas e implantar spywares. Os atacantes também usaram mensagens de phishing e códigos QR maliciosos para conectar dispositivos-alvo à infraestrutura do atacante. Esses métodos permitem que os operadores estabeleçam controle por meio de recursos projetados para proporcionar conveniência ao usuário.
A CISA relatou que atacantes às vezes se passam por serviços legítimos de mensagens para convencer as vítimas a aprovar links fraudulentos de dispositivos. Outras técnicas incluem explorar fluxos de recuperação de contas para inserir informações controladas pelo atacante. Após obter acesso, os operadores podem observar trocas privadas, extrair credenciais ou instalar ferramentas de persistência que permanecem ativas entre reiniciações de dispositivos. O aviso explica que essas táticas reduzem a probabilidade de detecção e aumentam a duração do acesso não autorizado.
A CISA alertou que programas de mensagens criptografadas não eliminam a exposição quando atacantes exploram recursos como vinculação de dispositivos ou mecanismos de recuperação. Alvos de alto valor enfrentam riscos aumentados porque seus dispositivos pessoais frequentemente contêm material sensível ligado a funções profissionais. A agência observou que as plataformas de mensagens se tornaram pontos estratégicos de interesse para intrusões porque atacantes veem comunicações privadas como fontes valiosas de inteligência.
O aviso recomenda que os usuários verifiquem todos os dispositivos vinculados em seus programas de mensagens e evitem escanear códigos QR ou aprovar solicitações de conexão de fontes desconhecidas. A CISA orientou os usuários para orientações incluídas no Guia de Melhores Práticas de Comunicações Móveis para indivíduos de alto valor e um recurso adicional para grupos da sociedade civil que operam com recursos limitados. Os usuários são incentivados a ativar as opções de autenticação mais fortes disponíveis, revisar a atividade da conta e remover associações de dispositivos não reconhecidos.
Analistas de segurança disseram que a mudança para métodos de zero clique indica que os atacantes estão investindo em técnicas que contornam proteções comuns. De acordo com o aviso, indivíduos que lidam com informações sensíveis devem considerar a segurança de dispositivos pessoais como parte essencial de sua estratégia operacional mais ampla de risco. As plataformas de mensagens continuam atraindo interesse de agentes ameaçadores que buscam acesso a conversas privadas, listas de contatos e credenciais de autenticação.