Pesquisadores da ReliaQuest identificaram uma campanha de phishing que utiliza o LinkedIn como vetor para a distribuição de malware RAT (Remote Access Trojan). Os atacantes enviam mensagens privadas a executivos e administradores de TI contendo arquivos WinRAR auto-extraíveis, disfarçados como documentos profissionais. A técnica de DLL sideloading é empregada para contornar defesas, permitindo que código malicioso seja executado sem depender de assinaturas de arquivos em disco. Os arquivos costumam ser personalizados de acordo com o alvo, com nomes como Upcoming_Products.pdf ou Project_Execution_Plan.exe, aumentando as chances de abertura e execução.
Tecnicamente, o ataque evolui ao explorar a DLL sideloading, que aproveita a forma como aplicações legítimas carregam bibliotecas dinâmicas para carregar código malicioso. Uma vez ativado, o RAT instala um interpretador Python completo no sistema comprometido, e a DLL maliciosa cria uma chave de registro persistente para garantir a execução automática a cada login. O payload é um script Python de pentesting open-source codificado em Base64, executado diretamente na memória, o que torna a abordagem essencialmente fileless e difícil de detectar por soluções tradicionais.
Entre as capacidades do RAT, destacam-se keylogging abrangente, captura de credenciais, conversas confidenciais e dados estratégicos digitados por executivos. O malware também realiza capturas de tela periódicas e pode ativar webcams remotamente, transformando dispositivos corporativos em ferramentas de vigilância para coleta de inteligência de negócios e propriedade intelectual.
O foco da campanha recai sobre indivíduos de alto valor em ambientes corporativos, e o LinkedIn aparece como superfície de ataque emergente. Dados do segundo semestre de 2023 apontam mais de 200 mil perfis falsos na plataforma, evidenciando a vulnerabilidade da confiança associada a redes profissionais. Pesquisas citadas por Security Brief UK, TechBooky e Infosecurity Magazine indicam que a combinação de ferramentas open-source com a credibilidade de redes sociais está elevando o nível de phishing direcionado.
Recomendações para operadores de segurança incluem ampliar o perímetro de defesa para além do e-mail, com treinamento específico para reconhecer phishing via mídias sociais, políticas mais rígidas de execução de arquivos auto-extraíveis e monitoramento de alterações persistentes no registro. A detecção em memória, análise comportamental e soluções EDR ganham relevância para mitigar ataques fileless. O setor é instado a desenvolver frameworks específicos para proteção contra ameaças originadas em plataformas sociais corporativas e a reforçar verificações de perfis e análise de comportamento em redes profissionais.
