L’Équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) met en garde contre des attaques très ciblées utilisant des comptes de signaux compromis pour envoyer des logiciels malveillants aux employés des entreprises de l’industrie de la défense et aux membres des forces armées du pays.
Le bulletin mentionne que les attaques ont commencé ce mois-ci, avec des messages de signalisation contenant des archives se faisant passer pour des rapports de réunion.
Avec certains de ces messages envoyés à partir de contacts existants que les cibles connaissent, les chances qu’elles ouvrent les archives sont plus élevées.
L’archive contient un PDF et un fichier exécutable, le premier agissant comme un leurre pour que les victimes s’ouvrent et déclenchent le lancement du second.
L’exécutable est classé comme le crypteur / chargeur Dark Tortilla, qui, une fois lancé, déchiffre et exécute le cheval de Troie d’accès à distance Dark Crystal RAT (DCRAT).
CERT-UA indique que l’activité a été suivie sous UAC-0200, un cluster de menaces utilisant Signal dans des attaques similaires depuis juin 2024.
Cependant, lors des récentes attaques, les leurres de phishing ont été mis à jour pour refléter les sujets vitaux actuels en Ukraine, en particulier ceux liés au secteur militaire.
« À partir de février 2025, les messages appâts se sont concentrés sur des sujets liés aux DRONES, aux systèmes de guerre électronique et à d’autres technologies militaires », explique le CERT-UA dans son récent bulletin.
En février 2025, le Groupe de renseignement sur les menaces de Google (GTIG) a signalé que des pirates informatiques russes abusaient de la fonctionnalité légitime « Appareils liés » de Signal pour obtenir un accès non autorisé aux comptes d’intérêt.
Les utilisateurs de Signal qui se considèrent comme des cibles potentielles d’attaques d’espionnage et de spear-phishing doivent désactiver le téléchargement automatique des pièces jointes et se méfier de tous les messages, en particulier ceux contenant des fichiers.
De plus, il est recommandé de vérifier régulièrement la liste des périphériques liés sur Signal pour éviter de devenir un proxy pour les attaques.
Enfin, les utilisateurs de Signal doivent mettre à jour leurs applications de messagerie vers la dernière version sur toutes les plateformes et activer l’authentification à deux facteurs pour une protection supplémentaire du compte.