- O phishing sofisticado do LinkedIn usa anúncios de emprego falsos para atingir executivos
- Os ataques empregam carregamento lateral de DLL e ferramentas Python para instalar trojans de acesso remoto
- ReliaQuest alerta que o phishing vai além do e-mail, explorando plataformas de mídia social negligenciadas
Executivos de negócios e administradores de TI estão sendo alvo de um ataque de phishing altamente sofisticado que não acontece na caixa de entrada de e-mail, mas sim no LinkedIn.
Os pesquisadores de segurança ReliaQuest disseram ter visto um novo ataque que combina Pitão projetos de pentesting, sideload de DLL e anúncios de emprego falsos, para infectar “alvos de alto valor” com trojans de acesso remoto (RAT).
De acordo com o relatório da ReliaQuest, as vítimas são cuidadosamente escolhidas e contactadas com um convite para um projecto empresarial ou um emprego. A mensagem do LinkedIn vem com um link de download que, se clicado, baixa um arquivo autoextraível WinRAR (SFX). O nome do arquivo geralmente é adaptado à função da vítima, como um roteiro de produto ou plano de projeto.
Implantando o RAT
Quando a vítima abre o arquivo, ela extrai automaticamente vários arquivos para a mesma pasta, fazendo com que o pacote pareça legítimo. A vítima então lança o Leitor de PDF que está incluído no arquivo, acreditando que estão abrindo um documento normal.
Este leitor então carrega uma DLL maliciosa que também foi incluída no arquivo. Este método, conhecido como sideload de DLL, executa o código do invasor sem gerar alertas de segurança imediatos, foi explicado.
A DLL maliciosa adiciona uma chave “Executar” do registro do Windows para estabelecer persistência e, em seguida, executa um interpretador Python portátil que também foi incluído no arquivo. Esta ferramenta executa uma ferramenta de hacking de código aberto codificada em Base64 diretamente na memória.
Por sua vez, o malware começa a se comunicar com um servidor de comando e controle, que é o comportamento padrão para trojans de acesso remoto.
“Esta campanha serve como um lembrete de que o phishing não se limita às caixas de entrada de e-mail. Os ataques de phishing ocorrem através de canais alternativos, como mídias sociais, mecanismos de busca e aplicativos de mensagens – plataformas que muitas organizações ainda ignoram em suas estratégias de segurança”, disse ReliaQuest.
“As plataformas de mídia social, especialmente aquelas frequentemente acessadas em dispositivos corporativos, fornecem aos invasores acesso direto a alvos de alto valor, como executivos e administradores de TI, tornando-as inestimáveis para os cibercriminosos.”
Através Notícias cibernéticas
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.