Des criminels utilisent LinkedIn pour installer des logiciels malveillants dans les entreprises
TL;DR
Une nouvelle campagne de phishing exploite des messages sur LinkedIn pour distribuer des chevaux de Troie d'accès à distance (RAT) dans des entreprises de différents secteurs. L'opération, identifiée par ReliaQuest, met en évidence une faille de sécurité qui ne surveille pas la communication sur les plateformes sociales.
Une nouvelle campagne de phishing exploite des messages sur LinkedIn pour distribuer des chevaux de Troie d'accès à distance (RAT) dans des entreprises de différents secteurs. L'opération, identifiée par ReliaQuest, met en évidence une faille de sécurité qui ne surveille pas la communication sur les plateformes sociales.
Comment fonctionne l'escroquerie
ReliaQuest a observé que les criminels utilisent la technique de sideloading de DLL pour éviter la détection. Les criminels contactent des individus de grande valeur sur LinkedIn, gagnant progressivement leur confiance avant d'envoyer des malwares.
Cette campagne couvre plusieurs secteurs et régions, rendant difficile la quantification de son échelle, car les messages directs sur les réseaux sociaux reçoivent moins de surveillance que les e-mails d'entreprise.
Récemment, au moins trois campagnes utilisant le sideloading de DLL pour distribuer des malwares connus sous les noms LOTUSLITE et PDFSIDER, entre autres, ont été documentées.
Attaque par ingénierie sociale
Les attaques commencent par une approche ciblée des contacts sur LinkedIn, simulant des opportunités d'emploi ou de partenariat. Après quelques interactions, les criminels persuadent les victimes de télécharger des fichiers qui semblent contenir des informations sur des projets.
Les fichiers malveillants incluent un package auto-extractible (SFX) qui, une fois exécuté, extrait des composants comme un lecteur PDF légitime et une DLL malveillante, ainsi qu'un exécutable de l'interpréteur Python.
Sideloading de DLL et ses implications
La technique de sideloading de DLL permet aux attaquants de cacher leurs activités malveillantes en faisant exécuter du code en arrière-plan par une application légitime. Cela passe généralement inaperçu par les systèmes de sécurité.
La DLL malveillante injecte l'interpréteur Python dans le système de la victime et crée une clé dans le Registre Windows pour garantir une exécution automatique, assurant le contrôle persistant du système.
L'interpréteur Python exécute du shellcode codé en Base64 directement dans la mémoire, évitant la création d'artefacts qui pourraient être détectés par des outils de sécurité.
Élévation de privilèges et contrôle
Selon ReliaQuest, cette approche facilite aux envahisseurs le contournement des détections et l'expansion de leurs opérations. Une fois à l'intérieur du système, ils peuvent élever leurs privilèges et se déplacer latéralement dans le réseau.
"Après l'invasion, l'accès indésirable peut compromettre l'ensemble de l'infrastructure d'entreprise", souligne ReliaQuest. Les intrus peuvent cartographier des réseaux internes et accéder à des données sensibles, telles que des informations de bases de données.
LinkedIn comme cible récurrente
Ce n'est pas la première fois que LinkedIn est utilisé pour des attaques ciblées. Au cours des dernières années, divers criminels, y compris des groupes liés à des activités en Corée du Nord, ont adopté des tactiques similaires.
Le modus operandi implique souvent un contact initial sous de faux prétextes liés à des opportunités d'emploi.
Réseaux sociaux et sécurité des entreprises
ReliaQuest avertit que les plateformes sociales représentent une faille critique dans la sécurité des entreprises. Contrairement aux e-mails, où des mesures de sécurité sont davantage mises en œuvre, les messages directs sur les réseaux sociaux ne sont pas surveillés correctement.
En conséquence, des plateformes comme LinkedIn permettent à des messages malveillants d'atteindre les employés sans inspection adéquate, augmentant le risque de phishing.
Recommandations pour les organisations
ReliaQuest recommande que les entreprises renforcent leurs défenses de sécurité pour inclure la surveillance des réseaux sociaux. Cela inclut la formation sur les risques de phishing et la mise en œuvre d'outils tels que EDR (Endpoint Detection and Response) pour identifier des techniques comme le sideloading de DLL.
De plus, les utilisateurs doivent être conseillés d'être méfiants à l'égard des opportunités irrégulières et de vérifier l'authenticité des connexions et des messages sur les réseaux sociaux.
Enfin, l'utilisation abusive d'outils légitimes et l'exploitation des réseaux sociaux révèlent que les méthodes de phishing doivent être constamment réévaluées pour maintenir la sécurité dans les environnements d'entreprise.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
