De FBI heeft in twee afzonderlijke waarschuwingen melding gemaakt van cybercampagnes van Russische en Iraanse oorsprong waarbij berichtenplatforms worden ingezet. Russische inlichtingendiensten richten zich op commerciële apps zoals Signal en compromitteren accounts van (voormalige) Amerikaanse overheidsfunctionarissen, militairen, politici en journalisten. Hierbij worden phishingberichten verstuurd die lijken op automatische ondersteuningsmeldingen, met als doel slachtoffers te verleiden tot het klikken op links of het verstrekken van verificatiecodes en account-pinnen.

Als gebruikers de gevraagde acties uitvoeren, krijgen de aanvallers ongeautoriseerde toegang tot de accounts, bijvoorbeeld door het toevoegen van een gekoppeld apparaat of volledige overname van het account. De FBI en de Cybersecurity and Infrastructure Security Agency (CISA) waarschuwen dat de aanvallers mogelijk ook malware inzetten om slachtoffers te infecteren. Na compromittering kunnen zij berichten en contactlijsten inzien, berichten versturen en verdere phishingacties uitvoeren. Hoewel de waarschuwing zich richt op Signal, kan dit ook gelden voor andere berichtenapps. De instanties adviseren gebruikers alert te zijn op verdachte berichten en hun persoonlijke cybersecurity te versterken. Er is geen kwetsbaarheid in Signal of andere apps zelf; de campagne richt zich op het omzeilen van encryptie door gebruikers te compromitteren.

Daarnaast bracht de FBI een waarschuwing uit over Iraanse cyberactiviteiten waarbij het Ministerie van Inlichtingen en Veiligheid (MOIS) Telegram gebruikt als infrastructuur om malware te verspreiden. Deze malware, vermomd als gangbare programma’s op Windows-systemen, infecteert apparaten van Iraanse dissidenten, journalisten en anderen. Via verbonden bots op Telegram kunnen de aanvallers op afstand toegang krijgen tot geïnfecteerde apparaten en gegevens zoals schermafbeeldingen en bestanden exfiltreren.