Los cibermalos han puesto a los usuarios de la popular aplicación de mensajería instantánea Telegram en su punto de mira.
El servicio de inteligencia y seguridad técnica de Ucrania ha advertido de una nueva ola de ataques que buscan acceder a cuentas del servicio.
Estos ciberataques se articulan de la siguiente manera: los actores de amenazas mandan mensajes a través de Telegram indicando a los usuarios que se ha detectado un inicio de sesión desde un nuevo dispositivo radicado en Rusia. Entonces les instan a confirmar sus cuentas pinchando en un enlace.
Si hacen click en la URL acaban en un dominio de phishing, donde se les solicita que ingresen sus números de teléfono, así como las contraseñas de un solo uso enviadas por SMS que posteriormente usarán los cibermalos para apropiarse de las cuentas.
"Los delincuentes enviaron mensajes con enlaces maliciosos al sitio web de Telegram para obtener acceso no autorizado a los registros, incluyendo la posibilidad de transferir un código de un solo uso desde SMS", ha advertido el Servicio Estatal de Comunicación Especial y Protección de la Información (SSSCIP) de Ucrania.
Los ataques aparentemente se atribuirían a un grupo de amenazas llamado UAC-0094. Todas estas amenazas se dan en el contexto de la guerra de Rusia y Ucrania y el creciente incremento de las ciberamenazas en una y otra dirección.
Otros ataques advertidos por Ucrania
En otra campaña de ingeniería social observada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), se enviaron señuelos de correo electrónico relacionados con la guerra a las agencias gubernamentales ucranianas para desplegar una pieza de malware de espionaje.
Los correos electrónicos vienen con un archivo HTML adjunto ("Criminales de guerra de la Federación Rusa.htm"), cuya apertura culmina con la descarga y ejecución de un implante basado en PowerShell en el host infectado.
Según recoge The Hacker News, CERT-UA atribuyó el ataque a Armageddon, un actor de amenazas con sede en Rusia vinculado al Servicio de Seguridad Federal (FSB) que tiene un historial de atacar entidades ucranianas desde al menos 2013.