- Phishing sofisticado do LinkedIn usa anúncios de emprego falsos para atingir gerentes
- Os ataques usam sideload de DLL e ferramentas Python para instalar Trojans de acesso remoto
- ReliaQuest alerta que o phishing vai além do e-mail, explorando plataformas de mídia social negligenciadas
Gerentes de negócios e administradores de TI são alvo de um ataque de phishing altamente sofisticado, e isso não está acontecendo na caixa de entrada de e-mail, mas no LinkedIn.
Os pesquisadores da ReliaQuest Security disseram que descobriram um novo ataque que combina projetos legítimos de pentesting em Python, sideloads de DLL e anúncios de emprego falsos para infectar “alvos de alto valor” com trojans de acesso remoto (RATs).
De acordo com o relatório da ReliaQuest, as vítimas são cuidadosamente selecionadas e convidadas para um projeto empresarial ou trabalho. A mensagem do LinkedIn vem com um link de download que, quando clicado, baixa um arquivo autoextraível WinRAR (SFX). O nome do arquivo geralmente é adaptado à função da vítima, como um roteiro de produto ou plano de projeto.
Implantação de RAT
Quando a vítima abre o arquivo, ela extrai automaticamente vários arquivos na mesma pasta, fazendo com que o pacote pareça legítimo. A vítima inicia o leitor de PDF embutido no arquivo, pensando que está abrindo um documento normal.
Este leitor carrega uma DLL maliciosa incluída no arquivo. Este método, conhecido como sideload de DLL, executa o código do invasor sem gerar alertas de segurança imediatos, foi explicado.
A DLL maliciosa adiciona uma chave “Run” ao registro do Windows para definir a persistência e, em seguida, executa um interpretador Python portátil que foi incluído no arquivo. Esta ferramenta executa uma ferramenta de hacking de código aberto codificada em Base64 diretamente na memória.
Ao mesmo tempo, o malware começa a se comunicar com um servidor de comando e controle, comportamento padrão para Trojans de acesso remoto.
“Esta campanha é um lembrete de que o phishing não se limita às caixas de entrada de e-mail. Os ataques de phishing ocorrem em canais alternativos, como redes sociais, motores de busca e aplicações de mensagens, plataformas que muitas organizações ainda ignoram nas suas estratégias de segurança”, disse ReliaQuest.
“As plataformas de mídia social, especialmente aquelas frequentemente acessadas em dispositivos corporativos, fornecem aos invasores acesso direto a alvos de alto valor, como executivos e administradores de TI, e são valiosas para os cibercriminosos”.
Através notícias cibernéticas
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
