Cybersecurity-onderzoekers hebben een nieuwe phishing-campagne ontdekt die privéberichten van sociale media exploiteert om kwaadaardige ladingen te verspreiden, waarschijnlijk met de bedoeling een trojan voor externe toegang (RAT) in te zetten.
De activiteit levert “bewapende bestanden op via Dynamic Link Library (DLL) sideloading, gecombineerd met een legitiem, open-source Python pen-testing-script”, aldus ReliaQuest in een rapport gedeeld met The Hacker News.
De aanval omvat het benaderen van waardevolle individuen via berichten die op LinkedIn worden verzonden, het creëren van vertrouwen en het misleiden van hen om een kwaadaardig WinRAR zelfuitpakkend archief (SFX) te downloaden. Eenmaal gelanceerd, extraheert het archief vier verschillende componenten:
- Een legitieme open-source PDF-lezertoepassing
- Een kwaadaardige DLL die door de PDF-lezer wordt sideload
- Een draagbaar uitvoerbaar bestand (PE) van de Python-interpreter
- Een RAR-bestand dat waarschijnlijk als lokaas dient
De infectieketen wordt geactiveerd wanneer de PDF-lezertoepassing wordt uitgevoerd, waardoor de frauduleuze DLL wordt sideload. Het gebruik van side-loading van DLL is een techniek geworden die steeds vaker door bedreigingsactoren wordt gebruikt om detectie te omzeilen en tekenen van kwaadwillige activiteit te verbergen door misbruik te maken van legitieme processen.
De afgelopen week hebben ten minste drie gedocumenteerde campagnes gebruik gemaakt van side-loading van DLL om malwarefamilies te leveren die worden gevolgd als LOTUSLITE en PDFSIDER, samen met andere trojans en informatiestelers.
In de door ReliaQuest waargenomen campagne wordt de sideloaded DLL gebruikt om de Python-interpreter op het systeem te plaatsen en een Windows Registry Run-sleutel te maken die ervoor zorgt dat de Python-interpreter automatisch wordt uitgevoerd bij elke login. De primaire verantwoordelijkheid van de tolk is het uitvoeren van een Base64-gecodeerde open-source shellcode die rechtstreeks in het geheugen wordt uitgevoerd om te voorkomen dat forensische artefacten op schijf achterblijven.
De laatste payload probeert te communiceren met een externe server, waardoor de aanvallers voortdurend externe toegang krijgen tot de gecompromitteerde host en interessante gegevens kunnen exfiltreren.
Het misbruik van legitieme open source-tools, gekoppeld aan het gebruik van phishing-berichten die op sociale-mediaplatforms worden verzonden, toont aan dat phishing-aanvallen niet beperkt blijven tot e-mails alleen en dat alternatieve bezorgmethoden gaten in de beveiliging kunnen uitbuiten om de kans op succes te vergroten en in te breken in bedrijfsomgevingen.
ReliaQuest vertelde The Hacker News dat de campagne breed en opportunistisch lijkt, met activiteiten in verschillende sectoren en regio’s. “Dat gezegd hebbende, omdat deze activiteit zich afspeelt in directe berichten en sociale-mediaplatforms doorgaans minder worden gecontroleerd dan e-mail, is het moeilijk om de volledige schaal te kwantificeren”, voegde het eraan toe.
“Deze aanpak stelt aanvallers in staat detectie te omzeilen en hun activiteiten met minimale inspanning op te schalen, terwijl ze de voortdurende controle over gecompromitteerde systemen behouden”, aldus het cyberbeveiligingsbedrijf. “Eenmaal binnen kunnen ze hun privileges escaleren, zich lateraal over netwerken verplaatsen en gegevens exfiltreren.”
Dit is niet de eerste keer dat LinkedIn wordt misbruikt voor gerichte aanvallen. De afgelopen jaren hebben meerdere Noord-Koreaanse dreigingsactoren, waaronder degenen die gelinkt zijn aan de CryptoCore- en Contagious Interview-campagnes, slachtoffers uitgekozen door contact met hen op te nemen op LinkedIn onder het voorwendsel van een baan en hen ervan te overtuigen een kwaadaardig project uit te voeren als onderdeel van een veronderstelde beoordeling of codebeoordeling.
In maart 2025 heeft Cofense ook een phishing-campagne met LinkedIn-thema beschreven, waarbij gebruik wordt gemaakt van lokmiddelen die verband houden met LinkedIn InMail-meldingen om ontvangers ertoe te brengen op een knop ‘Lees meer’ of ‘Reageer op’ te klikken en de door ConnectWise ontwikkelde externe desktopsoftware te downloaden om volledige controle te krijgen over de hosts van slachtoffers.
“Socialemediaplatforms die vaak door bedrijven worden gebruikt, vertegenwoordigen een leemte in de beveiligingspositie van de meeste organisaties”, aldus ReliaQuest. “In tegenstelling tot e-mail, waar organisaties de neiging hebben om tools voor beveiligingsmonitoring te gebruiken, ontberen privéberichten op sociale media zichtbaarheid en beveiligingscontroles, waardoor ze een aantrekkelijk bezorgkanaal zijn voor phishing-campagnes.”
“Organisaties moeten sociale media erkennen als een cruciaal aanvalsoppervlak voor initiële toegang en hun verdediging uitbreiden voorbij e-mailgerichte controles.”
