I messaggi privati di LinkedIn possono essere sfruttati per diffondere trojan di accesso remoto. È quanto emerso da un’analisi condotta dal team di Threat Research di ReliaQuest, che ha ricostruito le fasi di una campagna basata su phishing mirato e tecniche avanzate di evasione, trasformando di fatto il social dei professionisti nel punto di innesco della catena di infezione.

In particolare, i messaggi inviati alle potenziali vittime contenevano link a file malevoli, mascherati da documenti aziendali o presentazioni di progetto, ai quali venivano assegnati nomi coerenti con l’attività professionale del destinatario. Questo approccio ha costruito una narrativa convincente, sfruttando il contesto professionale di LinkedIn per aumentare le probabilità che la vittima aprisse il file senza sospetti.

Una volta scaricato, l’archivio WinRAR autoestraente con all’interno i file malevoli avvia una catena di compromissione piuttosto sofisticata. L’archivio include un’applicazione legittima per la lettura di PDF, una DLL malevola che condivide lo stesso nome di una libreria legittima, un eseguibile di Python e un file RAR spesso utilizzato come diversivo per rendere più credibile il contenuto della cartella. Una combinazione che lascia chiaramente presagire un attacco basato sulla tecnica del DLL sideloading, che si sta diffondendo rapidamente, come dimostrano esempi recenti delle backdoor PDFSIDER e LOTUSLITE. Il motivo di tanto successo è che il DLL sideloading sfrutta processi legittimi per mascherare l’attività malevola, complicando la detection e ritardando di conseguenza la risposta dei team di sicurezza.

Dopo l’esecuzione della DLL, l’attaccante si garantisce la persistenza sul sistema compromesso creando una chiave di registro che garantisce l’esecuzione automatica del codice ad ogni avvio del dispositivo. Attraverso un interprete Python esegue in memoria uno script open-source ideato per il penetration testing, che viene decifrato solo al momento dell’esecuzione per non destare sospetti.

Il caso analizzato da ReliaQuest è importante per ricordare che le piattaforme social, e LinkedIn in particolare, rappresentano superfici di attacco sottovalutate nelle strategie di cybersecurity. Gli attaccanti sfruttano la fiducia tra colleghi, la percezione di sicurezza associata a un contesto professionale conosciuto, e approfittano delle informazioni pubblicate per identificare meglio gli obiettivi. Il messaggio è chiaro: le aziende devono ampliare la cyber protection alle piattaforme social e alle applicazioni comunemente utilizzate per scopi professionali, con strategie di prevenzione mirate, formazione dei dipendenti e strumenti di detection capaci di identificare comportamenti anomali.