Criminosos usam LinkedIn para instalar malware em empresas

Uma nova campanha de phishing explora mensagens no LinkedIn para distribuir trojans de acesso remoto (RAT) em empresas de diferentes setores. A operação, identificada pela ReliaQuest, ressalta uma falha de segurança que não monitora a comunicação em plataformas sociais.

Como funciona o golpe

A ReliaQuest observou que os criminosos utilizam a técnica de sideloading de DLL para evitar detecção. Criminosos entram em contato com indivíduos de alto valor no LinkedIn, conquistando a confiança gradualmente antes de enviar malwares.

Essa campanha abrange múltiplos setores e regiões, tornando difícil quantificar sua escala, já que as mensagens diretas em redes sociais recebem menos monitoramento do que e-mails corporativos.

Recentemente, foram documentadas pelo menos três campanhas utilizando sideloading de DLL para distribuir malwares conhecidos como LOTUSLITE e PDFSIDER, entre outros.

Ataque com engenharia social

Os ataques têm início com uma abordagem direcionada aos contatos no LinkedIn, simulando oportunidades de emprego ou parcerias. Após algumas interações, os criminosos persuadem as vítimas a baixar arquivos que aparentemente contêm informações de projetos.

Os arquivos maliciosos incluem um pacote autoextraível (SFX) que, após execução, extrai componentes como um leitor de PDF legítimo e uma DLL maliciosa, além de um executável do interpretador Python.

Sideloading de DLL e suas implicações

A técnica de sideloading de DLL permite que os atacantes ocultem suas atividades maliciosas ao fazer com que um aplicativo legítimo execute código em segundo plano. Isso geralmente passa despercebido por sistemas de segurança.

A DLL maliciosa injeta o interpretador Python no sistema da vítima e cria uma chave no Registro do Windows para garantir execução automática, garantindo o controle persistente no sistema.

O interpretador Python executa shellcode codificado em Base64 diretamente na memória, evitando a criação de artefatos que poderiam ser detectados por ferramentas de segurança.

Escalando privilégios e controle

De acordo com a ReliaQuest, essa abordagem facilita para os invasores contornar detecções e expandir suas operações. Uma vez dentro do sistema, eles podem escalar privilégios e mover-se lateralmente na rede.

"Após a invasão, o acesso indesejado pode comprometer toda a infraestrutura corporativa", destaca a ReliaQuest. Invasores podem mapear redes internas e acessar dados sensíveis, como informações de bancos de dados.

LinkedIn como alvo recorrente

Esta não é a primeira vez que o LinkedIn é utilizado para ataques direcionados. Nos últimos anos, diversos criminosos, incluindo grupos vinculados a atividades na Coreia do Norte, adotaram táticas semelhantes.

O modus operandi frequentemente envolve o contato inicial sob pretextos falsos relacionados a oportunidades de emprego.

Redes sociais e segurança corporativa

A ReliaQuest alerta que as plataformas sociais representam uma brecha crítica na segurança corporativa. Diferente do e-mail, onde medidas de segurança estão mais implementadas, as mensagens diretas em redes sociais não são monitoradas adequadamente.

Como resultado, plataformas como LinkedIn permitem que mensagens maliciosas cheguem aos funcionários sem a devida inspeção, aumentando o risco de phishing.

Recomendações para organizações

A ReliaQuest recomenda que as empresas ampliem suas defesas de segurança para incluir monitoramento de redes sociais. Isso inclui treinamento sobre riscos de phishing, e a implementação de ferramentas como EDR (Endpoint Detection and Response) para identificar técnicas como sideloading de DLL.

Além disso, usuários devem ser orientados a desconfiar de oportunidades irregulares e a verificar a autenticidade de conexões e envios em redes sociais.

Por fim, o uso indevido de ferramentas legítimas e a exploração de redes sociais evidenciam que os métodos de phishing precisam ser constantemente reavaliados para manter a segurança em ambientes corporativos.