С подобряването на защитите на корпоративните пощи, киберпрестъпниците все по-често търсят алтернативни канали за първоначален достъп. Последна кампания, анализирана от екипа за Threat Research на ReliaQuest, показва ясно тази тенденция – фишинг чрез директни съобщения в LinkedIn, насочен към строго селектирани „високостойностни“ служители.

Вместо масови съобщения, нападателите използват персонализирани примамки, изпратени през социална платформа, която много професионалисти възприемат като по-надеждна от имейла.

Как протича атаката стъпка по стъпка

Атаката започва с директно съобщение в LinkedIn, което подканва жертвата да изтегли файл – представен като бизнес документ или проектна информация. Линкът води до WinRAR self-extracting archive (SFX) – архив, който автоматично разопакова съдържанието си при отваряне.

Вътре се съдържа цял „пакет“ за компрометиране:

• легитимен PDF четец;

• зловредна DLL библиотека;

• преносим Python интерпретатор;

• безобиден „декой“ файл, който създава илюзия за нормално съдържание.

Имената на файловете са съобразени с ролята или индустрията на жертвата, например „Upcoming_Products.pdf“ или „Project_Execution_Plan.exe“, което значително увеличава вероятността те да бъдат отворени.

DLL sideloading – стар трик с ново приложение

След стартиране на PDF четеца се задейства DLL sideloading – техника, при която злонамерена библиотека се поставя редом до легитимно приложение и се зарежда автоматично от него.

Зловредната DLL се маскира като стандартен компонент, който програмата очаква при стартиране, което ѝ позволява:

• да избягва откриване от endpoint защитите;

• да стартира код под прикритието на доверено приложение.

Python, Base64 и атаки без следи на диска

След първоначалното изпълнение, зловредният код:

• създава persistent registry Run ключ, който стартира Python при всяко логване;

• изпълнява отворен, легитимен penetration testing инструмент, но „опакован“ в Base64;

• стартира кода директно в паметта, без да записва очевидно зловредни файлове на диска.

Този подход значително затруднява детекцията и анализа, особено в среди, които разчитат основно на сигнатурни механизми.

Признаци за RAT и дългосрочен достъп

ReliaQuest отчита многократни опити за връзка с command-and-control сървър, поведение типично за Remote Access Trojan (RAT). Това подсказва, че целта не е еднократна атака, а дългосрочен контрол, наблюдение и кражба на данни.

Достъпът до устройствата на ръководители и ИТ администратори е изключително ценен – той може да отвори врата към чувствителна информация, вътрешни системи и стратегически решения.

Защо LinkedIn е толкова ефективен канал

Изследователите подчертават, че доверието към социалните мрежи, особено професионалните, е ключов фактор за успеха на кампанията. Комбинацията от:

• легитимна платформа;

• директна комуникация;

• използване на отворени и широко познати инструменти

понижава техническата бариера за нападателите и увеличава процента на компрометиране.

Какво трябва да направят организациите

Според ReliaQuest, фишингът вече не е ограничен до имейл:

• социалните мрежи, търсачките и messaging платформите са активни вектори на атака;

• корпоративните политики за сигурност често пренебрегват тези канали.

Сред основните препоръки са:

• специализирано обучение за сигурност в социалните мрежи;

• повишено внимание към неочаквани линкове и файлове в директни съобщения;

• мониторинг на поведението, а не само на файловете.

LinkedIn е информирана за кампанията и заявява, че използва автоматизирани и ръчни механизми за откриване и спиране на подобни измами, като насърчава потребителите да докладват съмнително съдържание.