Delincuentes utilizan LinkedIn para instalar malware en empresas

Una nueva campaña de phishing explora mensajes en LinkedIn para distribuir troyanos de acceso remoto (RAT) en empresas de diferentes sectores. La operación, identificada por ReliaQuest, resalta una falla de seguridad que no monitorea la comunicación en plataformas sociales.

Cómo funciona el golpe

ReliaQuest observó que los delincuentes utilizan la técnica de sideloading de DLL para evitar detección. Los criminales contactan a individuos de alto valor en LinkedIn, ganando la confianza gradualmente antes de enviar malwares.

Esta campaña abarca múltiples sectores y regiones, haciendo difícil cuantificar su escala, ya que los mensajes directos en redes sociales reciben menos monitoreo que los correos electrónicos corporativos.

Recientemente, se han documentado al menos tres campañas utilizando sideloding de DLL para distribuir malwares conocidos como LOTUSLITE y PDFSIDER, entre otros.

Ataque con ingeniería social

Los ataques comienzan con un enfoque dirigido a los contactos en LinkedIn, simulando oportunidades de empleo o asociaciones. Después de algunas interacciones, los delincuentes persuaden a las víctimas para que descarguen archivos que aparentemente contienen información de proyectos.

Los archivos maliciosos incluyen un paquete autoextraíble (SFX) que, tras su ejecución, extrae componentes como un lector de PDF legítimo y una DLL maliciosa, además de un ejecutable del intérprete de Python.

Sideloading de DLL y sus implicaciones

La técnica de sideloading de DLL permite que los atacantes oculten sus actividades maliciosas al hacer que una aplicación legítima ejecute código en segundo plano. Esto generalmente pasa desapercibido por sistemas de seguridad.

La DLL maliciosa inyecta el intérprete de Python en el sistema de la víctima y crea una clave en el Registro de Windows para asegurar la ejecución automática, garantizando el control persistente en el sistema.

El intérprete de Python ejecuta shellcode codificado en Base64 directamente en la memoria, evitando la creación de artefactos que podrían ser detectados por herramientas de seguridad.

Escalando privilegios y control

Según ReliaQuest, este enfoque facilita a los invasores evadir detecciones y expandir sus operaciones. Una vez dentro del sistema, pueden escalar privilegios y moverse lateralmente en la red.

"Después de la invasión, el acceso no deseado puede comprometer toda la infraestructura corporativa", destaca ReliaQuest. Los invasores pueden mapear redes internas y acceder a datos sensibles, como información de bases de datos.

LinkedIn como objetivo recurrente

Esta no es la primera vez que LinkedIn se utiliza para ataques dirigidos. En los últimos años, varios delincuentes, incluidos grupos vinculados a actividades en Corea del Norte, han adoptado tácticas similares.

El modus operandi a menudo implica el contacto inicial bajo falsos pretextos relacionados con oportunidades de empleo.

Redes sociales y seguridad corporativa

ReliaQuest alerta que las plataformas sociales representan una brecha crítica en la seguridad corporativa. A diferencia del correo electrónico, donde se implementan más medidas de seguridad, los mensajes directos en redes sociales no se monitorean adecuadamente.

Como resultado, plataformas como LinkedIn permiten que mensajes maliciosos lleguen a los empleados sin la debida inspección, aumentando el riesgo de phishing.

Recomendaciones para organizaciones

ReliaQuest recomienda que las empresas amplíen sus defensas de seguridad para incluir monitoreo de redes sociales. Esto incluye capacitación sobre riesgos de phishing, y la implementación de herramientas como EDR (Detección y Respuesta de Endpoint) para identificar técnicas como sideloding de DLL.

Además, los usuarios deben ser orientados a desconfiar de oportunidades irregulares y a verificar la autenticidad de conexiones y envíos en redes sociales.

Por último, el uso indebido de herramientas legítimas y la explotación de redes sociales evidencian que los métodos de phishing necesitan ser constantemente reevaluados para mantener la seguridad en entornos corporativos.