Помимо целевых атак с привязкой дополнительных устройств к учетным записям жертв в Signal, региональные хакерские группировки также используют различные методы для кражи файлов баз данных Signal с устройств на Android и Windows.
APT44 и кража сообщений Signal через WAVESIGN
APT44 применяет WAVESIGN — это легкий Windows Batch-скрипт, который периодически получает сообщения из базы данных Signal на Windows-устройства и передает их на сервер злоумышленников с помощью утилиты Rclone.
Infamous Chisel — Android-шпионское ПО Sandworm
В 2023 году СБУ и Национальный центр кибербезопасности Великобритании (NCSC) сообщили, что вредоносное программное обеспечение Infamous Chisel, которое связывают с хакерской группой Sandworm, было создано для взлома телефонов на Android и похищения данных из мессенджеров, в частности Signal.
Turla — кража сообщений из Signal Desktop через PowerShell
Хакерская группа Turla, которую США и Британия связывают с ФСБ РФ, использовала специальный PowerShell-скрипт, чтобы собирать сообщения с Signal Desktop и передавать их злоумышленникам после заражения компьютера.
UNC1151 (Беларусь) и похищение данных из Signal Desktop через Robocopy
Белорусская группировка UNC1151, действующая в интересах российских силовых структур, использовала утилиту Robocopy в командной строке, чтобы получить доступ к файловым директориям Signal Desktop, где хранятся сообщения и вложения. Похищенные данные хранились для дальнейшей передачи злоумышленникам.
Эти методы демонстрируют, что атаки на Signal не ограничиваются только привязкой устройств — злоумышленники активно разрабатывают и применяют вредоносное ПО для похищения конфиденциальных сообщений с инфицированных устройств.
