Campanha ativa usa LinkedIn para distribuir RAT via DLL sideloading
Analistas da ReliaQuest identificaram uma campanha de phishing que explora a credibilidade do LinkedIn para induzir funcionários a baixar e executar um pacote que culmina na entrega de um Remote Access Trojan (RAT).
Resumo da operação
Os atacantes enviam mensagens via LinkedIn com links para arquivos WinRAR autoextraíveis contendo um arquivo legítimo e componentes maliciosos. Os nomes dos arquivos são personalizados para o cargo ou setor do alvo (ex.: "UpcomingProducts.pdf" ou "ProjectExecutionPlan.exe"), aumentando a probabilidade de interação.
Mecanismo de infecção e persistência
Ao executar o arquivo, a cadeia de ataque extrai um leitor de PDF legítimo junto com uma DLL maliciosa colocada no mesmo diretório. A técnica de DLL sideloading faz com que o processo legítimo carregue a DLL atacante a partir do diretório local, garantindo execução sob um processo confiável e reduzindo a visibilidade de ferramentas de defesa.
Após execução inicial, o pacote entrega um intérprete Python e um script runner com shellcode embutido codificado em Base64. O intérprete executa o script inteiramente em memória via Python exec, evitando artefatos no disco que AV tradicionais detectariam. Em seguida, os atores criam uma chave Run no registro com código Python incorporado para garantir persistência no login do usuário.
Evidências observadas
- Uso de WinRAR self-extracting archives como vetor de distribuição.
- Arquivos com nomes dirigidos ao papel do destinatário para engenharia social.
- Técnica técnica: DLL sideloading para execução sob processo legítimo.
- Entrega de intérprete Python e execução em memória do payload.
- Criação de Run key no registro para persistência.
Alcance e rapidez
ReliaQuest relatou que a cadeia de ataque pode atingir seus objetivos em poucas horas após a interação da vítima, criando um risco operacional elevado para organizações cuja detecção periódica depende de soluções que procuram artefatos em disco.
Implicações para defesa corporativa
A campanha evidencia duas frentes de risco: (1) utilização de redes sociais profissionais (LinkedIn) fora do escopo das defesas tradicionais de e-mail e (2) técnicas que evitam detecção baseada em disco (execução em memória, sideloading). Equipes de segurança devem considerar monitoramento de atividade de processos confiáveis, mitigação de execução de binários autoextraíveis e campanhas de conscientização focalizadas em engenharia social por redes profissionais.
Limites do relatório
A matéria base cita a investigação da ReliaQuest e descreve o fluxo técnico detalhado observado por eles. Não há, na publicação, informações sobre nomes de famílias de malware comumente aceitas no mercado ou indicadores de comprometimento (IOCs) públicos. Também não há menção a vítimas específicas nem estimativa do número de organizações afetadas.
Recomendações rápidas
- Bloquear ou analisar automaticamente anexos / arquivos autoextraíveis recebidos via links externos, mesmo em redes sociais.
- Monitorar processos confiáveis para carregamento de DLLs a partir de diretórios não padronizados.
- Treinamento dirigido para colaboradores sobre mensagens maliciosas em redes profissionais.
- Considerar EDR com capacidade de detecção em memória e monitoramento de criação de Run keys no registro.
Fonte: Cyber Security News (baseado em investigação ReliaQuest)