Malware – Criminosos cibernéticos estão utilizando mensagens privadas do LinkedIn como porta de entrada para ataques que concedem acesso remoto completo a sistemas corporativos. A estratégia faz parte de uma campanha de phishing identificada por pesquisadores da ReliaQuest e se aproveita de uma fragilidade comum nas empresas: a falta de monitoramento de interações em redes sociais.
De acordo com a análise, os ataques utilizam trojans de acesso remoto distribuídos por meio de uma técnica conhecida como sideloading de DLL, que permite a execução de código malicioso sem gerar alertas nos mecanismos tradicionais de segurança. Como a atividade ocorre fora do e-mail corporativo, a visibilidade do ataque é reduzida, o que dificulta a mensuração do impacto total.
LEIA: Golpe digital usa falso app do FGC para roubar informações bancárias
O golpe tem início com uma abordagem aparentemente legítima no LinkedIn. Os criminosos entram em contato com profissionais considerados estratégicos, geralmente pessoas com acesso a sistemas críticos ou dados sensíveis. As mensagens simulam oportunidades de emprego, parcerias ou pedidos de consultoria e evoluem gradualmente, com o objetivo de gerar confiança.
Após algumas conversas, a vítima é convencida a baixar um arquivo que supostamente contém documentos relacionados à proposta apresentada. O material, no entanto, é um arquivo autoextraível malicioso que, ao ser executado, instala diferentes componentes no sistema.
Entre eles estão um leitor de PDF legítimo, uma biblioteca DLL maliciosa, um interpretador Python e um arquivo compactado usado como isca, com documentos falsos para manter a aparência de normalidade.
O carregamento lateral de DLL é o elemento central do ataque. A técnica se aproveita do funcionamento normal de programas confiáveis para executar código malicioso em segundo plano.
Como o processo é iniciado por um aplicativo legítimo e assinado digitalmente, a atividade passa despercebida por antivírus e ferramentas de detecção tradicionais.
Do ponto de vista do sistema operacional, tudo parece uma ação comum, como a abertura de um documento em PDF, o que ajuda a ocultar o comportamento malicioso.
Outro diferencial da campanha é a forma como o malware é executado. A DLL maliciosa injeta o interpretador Python e cria mecanismos de persistência no sistema, garantindo que o código seja executado sempre que o usuário fizer login.
O ataque utiliza shellcode codificado em Base64 que roda diretamente na memória, sem ser gravado no disco. Essa abordagem reduz significativamente os rastros forenses e dificulta a identificação posterior por ferramentas de segurança.
Uma vez concluída a infecção, o malware tenta se comunicar com um servidor externo controlado pelos atacantes. Se a conexão for estabelecida, os criminosos passam a ter acesso remoto persistente ao sistema comprometido, podendo controlar a máquina e extrair dados.
Segundo os pesquisadores, o acesso inicial obtido por meio do LinkedIn pode servir como ponto de entrada para ataques mais amplos. A partir de um único usuário, os invasores conseguem mapear a rede interna, escalar privilégios, mover-se lateralmente e alcançar sistemas críticos, como servidores de dados, controladores de domínio e backups.
Esse tipo de movimentação aumenta o potencial de impacto, já que permite o comprometimento de toda a infraestrutura corporativa.
Uso do LinkedIn em ataques não é novidade
O LinkedIn já foi explorado em outras campanhas sofisticadas. Em episódios anteriores, criminosos se passaram por recrutadores e convenceram profissionais, especialmente da área de tecnologia, a executar arquivos ou projetos maliciosos como parte de supostos processos seletivos.
Em campanhas semelhantes, notificações falsas e mensagens com aparência legítima induziram vítimas a baixar ferramentas que concediam controle remoto total aos atacantes.
Para a ReliaQuest, o uso de redes sociais evidencia uma lacuna importante na estratégia de segurança das organizações. Enquanto e-mails corporativos passam por filtros, análises de links e inspeção de anexos, mensagens em plataformas sociais chegam diretamente aos funcionários, sem qualquer tipo de verificação.
Além disso, usuários tendem a confiar mais em mensagens recebidas em redes profissionais, especialmente quando partem de perfis aparentemente legítimos, com conexões em comum e histórico ativo.
Necessidade de ampliar as defesas
A recomendação é que empresas passem a tratar as redes sociais como um vetor crítico de ataque. Entre as medidas sugeridas estão treinamentos específicos sobre phishing fora do e-mail, políticas claras para download de arquivos recebidos por mensagens diretas, uso de ferramentas capazes de detectar sideloading de DLL e monitoramento de comportamentos anômalos em estações de trabalho.
Para profissionais, a orientação é desconfiar de propostas inesperadas, verificar a autenticidade de contatos antes de baixar qualquer arquivo e evitar executar códigos ou documentos enviados por desconhecidos. O cenário reforça que ataques de phishing não se limitam mais ao e-mail e que novas rotas estão sendo exploradas para contornar as defesas tradicionais das empresas.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)
