Pesquisadores em cibersegurança identificaram uma nova campanha de phishing que utiliza mensagens privadas em redes sociais para distribuir cargas maliciosas, possivelmente visando a instalação de um trojan de acesso remoto (RAT).
Segundo a ReliaQuest, em relatório compartilhado com o The Hacker News, a ação entrega arquivos "armados" por meio do sideloading de Dynamic Link Library (DLL), apoiado por um script legítimo de teste de penetração em Python, de código aberto.
A tentativa de ataque tem como alvo indivíduos de alto valor no LinkedIn.
Os invasores iniciam a interação via mensagens, criam uma falsa sensação de confiança e induzem as vítimas a baixar um arquivo autoextraível malicioso no formato WinRAR (SFX).
Ao ser executado, o arquivo extrai quatro componentes distintos:
- Um leitor de PDF legítimo e open-source
- Uma DLL maliciosa carregada pelo leitor de PDF
- Um executável portátil (PE) do interpretador Python
- Um arquivo RAR que provavelmente funciona como isca
A cadeia de infecção começa quando o leitor de PDF é aberto, provocando o sideload da DLL maliciosa.
Essa técnica tem ganhado popularidade entre cibercriminosos por permitir que o malware se camufle dentro de processos legítimos, dificultando a detecção.
Na última semana, pelo menos três campanhas documentadas usaram o sideload de DLL para distribuir famílias de malware como LOTUSLITE e PDFSIDER, além de trojans e roubadores de informações variados.
No caso analisado pela ReliaQuest, a DLL maliciosa instala o interpretador Python na máquina e cria uma chave no Windows Registry para garantir a execução automática do interpretador a cada login.
O interpretador, por sua vez, executa em memória um shellcode open-source codificado em Base64, método que evita deixar vestígios no disco rígido.
A carga final tenta se comunicar com um servidor externo, garantindo aos invasores acesso remoto persistente à máquina comprometida e a exfiltração de dados sensíveis.
A combinação do uso de ferramentas legítimas open-source com a disseminação por meio de mensagens de phishing em redes sociais evidencia que esses ataques não se limitam ao e-mail.
Métodos alternativos de entrega exploram brechas de segurança para aumentar as chances de infiltração em ambientes corporativos.
Segundo a ReliaQuest, a campanha observada é ampla e oportunista, abrangendo setores e regiões diversas.
No entanto, por ocorrer via mensagens diretas — geralmente menos monitoradas que o e-mail — o real tamanho da ameaça é difícil de mensurar.
“A abordagem permite que os criminosos evitem a detecção e escalem suas operações com pouco esforço, mantendo controle persistente dos sistemas infectados”, alerta a empresa.
“Após a invasão, eles podem escalar privilégios, movimentar-se lateralmente pelas redes e roubar dados.”
Este não é o primeiro uso indevido do LinkedIn para ataques direcionados.
Nos últimos anos, grupos norte-coreanos ligados às campanhas CryptoCore e Contagious Interview têm abordado vítimas pela plataforma, fingindo oportunidades de emprego para induzir a execução de projetos maliciosos em supostas avaliações ou revisões de código.
Em março de 2025, a Cofense também documentou uma campanha de phishing associada ao LinkedIn, que usava iscas relacionadas a notificações do LinkedIn InMail para levar as vítimas a clicar em botões como “Leia Mais” ou “Responder” e baixar softwares de desktop remoto da ConnectWise, garantindo controle total das máquinas comprometidas.
“Plataformas sociais usadas por empresas representam uma vulnerabilidade significativa na postura de segurança da maioria das organizações”, destaca a ReliaQuest.
“Ao contrário do e-mail, que normalmente conta com ferramentas de monitoramento, mensagens privadas em redes sociais carecem de visibilidade e controles, tornando-se canais atrativos para campanhas de phishing.”
“As organizações precisam reconhecer as redes sociais como uma superfície crítica para acesso inicial e ampliar suas defesas além do foco exclusivo no e-mail.”
Achou este artigo relevante? Siga-nos no Google News, Twitter e LinkedIn para acompanhar nossos conteúdos exclusivos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...