Investigadores de ciberseguridad han descubierto una nueva campaña de phishing que explota mensajes privados de redes sociales para propagar cargas útiles maliciosas. Es probable que esto tenga como objetivo implementar un troyano de acceso remoto (RAT).
ReliaQuest dijo en un informe compartido con The Hacker News que la actividad entrega «archivos armados a través de la descarga de una biblioteca de enlaces dinámicos (DLL) combinados con scripts legítimos de pruebas de penetración de Python de código abierto».
El ataque implica acercarse a personas de alto valor a través de mensajes enviados en LinkedIn, generar confianza y engañarlos para que descarguen un archivo autoextraíble (SFX) malicioso de WinRAR. Cuando se inicia el archivo, se extraen cuatro componentes diferentes.
Aplicaciones legítimas de lectura de PDF de código abierto. DLL maliciosas descargadas por lectores de PDF. Archivos RAR que pueden actuar como señuelos ejecutables portátiles (PE) del intérprete de Python.
La cadena de infección se activa cuando se ejecuta la aplicación de lectura de PDF y se descarga la DLL maliciosa. El uso de descarga de DLL es una técnica cada vez más común empleada por los actores de amenazas para aprovechar procesos legítimos para evadir la detección y ocultar signos de actividad maliciosa.
Durante la semana pasada, al menos tres campañas documentadas utilizaron la descarga de DLL para entregar familias de malware rastreadas como LOTUSLITE y PDFSIDER, junto con otros troyanos básicos y ladrones de información.
La campaña observada por ReliaQuest utiliza una DLL de carga lateral para colocar un intérprete de Python en el sistema y crear una clave de ejecución del registro de Windows que permite que el intérprete de Python se ejecute automáticamente en cada inicio de sesión. La función principal del intérprete es ejecutar código shell de código abierto codificado en Base64. Este código shell se ejecuta directamente en la memoria, lo que garantiza que no queden artefactos forenses en el disco.
La carga útil final intenta comunicarse con un servidor externo, brindando al atacante acceso remoto persistente al host comprometido y extrayendo los datos deseados.
El uso indebido de herramientas legítimas de código abierto y el uso de mensajes de phishing enviados en plataformas de redes sociales muestra que los ataques de phishing no se limitan al correo electrónico y que los métodos de entrega alternativos pueden explotar las brechas de seguridad para aumentar la probabilidad de éxito y penetrar los entornos corporativos.
ReliaQuest dijo a The Hacker News que la campaña parece tener una base amplia y oportunista, con actividad que abarca varios sectores y geografías. «Sin embargo, la escala general de esta actividad es difícil de cuantificar, ya que se produce a través de mensajes directos y las plataformas de redes sociales normalmente no son tan monitoreadas como el correo electrónico», añadió.
«Este enfoque permite a los atacantes evadir la detección y escalar sus operaciones con un mínimo esfuerzo mientras mantienen un control duradero sobre los sistemas comprometidos», dijo la firma de ciberseguridad. «Una vez comprometidos, tienen el potencial de aumentar sus privilegios, moverse a través de redes y robar datos».
Esta no es la primera vez que se utiliza LinkedIn para ataques dirigidos. En los últimos años, varios actores de amenazas norcoreanos, incluidos aquellos asociados con las campañas CryptoCore y Contagious Interview, han identificado a las víctimas contactándolas en LinkedIn con el pretexto de oportunidades laborales y convenciéndolas de ejecutar proyectos maliciosos como parte de una supuesta evaluación o revisión de código.
En marzo de 2025, Cofense también detalló una campaña de phishing con temática de LinkedIn que utilizaba señuelos relacionados con las notificaciones InMail de LinkedIn para engañar a los destinatarios para que hicieran clic en los botones «Leer más» o «Responder a» y descargaran software de escritorio remoto desarrollado por ConnectWise para tomar el control total del host de la víctima.
«Las plataformas de redes sociales comúnmente utilizadas por las empresas representan una brecha en la postura de seguridad de la mayoría de las organizaciones», dijo ReliaQuest. «A diferencia del correo electrónico, donde las organizaciones tienden a implementar herramientas de monitoreo de seguridad, los mensajes privados en las redes sociales carecen de visibilidad y controles de seguridad, lo que los convierte en un canal de entrega atractivo para campañas de phishing».
«Las organizaciones deben reconocer que las redes sociales son una superficie de ataque crítica para el acceso inicial y extender las defensas más allá de los controles centrados en el correo electrónico».
Source link
