O LinkedIn, habitualmente visto como um porto seguro para o networking profissional, transformou-se no novo terreno fértil para cibercriminosos que procuram alvos de elevado valor. Uma investigação recente da ReliaQuest expôs uma campanha sofisticada onde hackers utilizam métodos complexos, como DLL Sideloading e scripts em Python, para instalar Cavalos de Troia de Acesso Remoto (RATs) e espiar as vítimas sem levantar suspeitas.
O disfarce perfeito: Falsos recrutadores e ficheiros armadilhados
A estratégia destes atacantes afasta-se dos emails de spam genéricos e aposta numa abordagem mais direta e personalizada. O ataque começa com mensagens privadas no LinkedIn, enviadas por perfis falsos que se fazem passar por recrutadores ou colegas da mesma área de atividade. Os alvos preferenciais são profissionais com acessos privilegiados, como administradores de sistemas, programadores e executivos de topo.
Para conquistar a confiança da vítima, o atacante envia o que parece ser um ficheiro inofensivo, como um portefólio, um currículo ou uma proposta comercial em formato PDF. No entanto, trata-se de um arquivo WinRAR SFX que, ao ser aberto, desencadeia silenciosamente o processo de infeção. A familiaridade e a confiança inerentes à plataforma profissional fazem com que os utilizadores baixem a guarda, tornando-se mais propensos a executar estes anexos maliciosos.
Como funciona: O perigo do DLL Sideloading e Python
O que distingue esta campanha é a complexidade técnica utilizada para contornar as defesas tradicionais do sistema operativo. O ataque desenrola-se em quatro fases principais:
O "Cavalo de Troia" Legítimo: O ataque utiliza um leitor de PDF genuíno e confiável. A presença de um software legítimo e assinado digitalmente ajuda a enganar os mecanismos de segurança do Windows.
A Técnica de DLL Sideloading: Os hackers colocam uma DLL maliciosa na mesma pasta do programa legítimo. Quando o software é executado, carrega esta biblioteca adulterada em vez da original, permitindo a execução de código malicioso sob a capa de um processo seguro e autorizado.
Scripts Python e Shellcode: A carga maliciosa executa scripts Python que correm Shellcode diretamente na memória do computador. Isto permite que o malware comunique com os servidores de comando e controlo sem deixar rasto no disco rígido, dificultando a deteção forense.
O Isco: Para não levantar suspeitas imediatas, é exibido à vítima um documento falso ("decoy"), convencendo-a de que o ficheiro que abriu era, de facto, legítimo.
Uma vez instalado, o software malicioso garante a sua persistência através de chaves de registo, iniciando-se automaticamente com o sistema. A partir daí, opera de forma furtiva na memória, recolhendo credenciais, histórico de navegação e informações empresariais sensíveis, que são depois exfiltradas para servidores remotos.
Para se protegerem, os utilizadores devem manter um nível saudável de ceticismo, mesmo em redes profissionais. Desconfiar de mensagens não solicitadas, evitar abrir anexos de fontes desconhecidas e utilizar autenticação de dois fatores (MFA) continuam a ser as linhas de defesa mais eficazes contra este tipo de engenharia social avançada.
Nenhum comentário
Seja o primeiro!