- Сложный фишинг LinkedIn использует поддельные объявления о вакансиях для нападения на руководителей
- Атаки используют загрузку неопубликованных DLL и инструменты Python для установки троянов удаленного доступа.
- ReliaQuest предупреждает, что фишинг выходит за рамки электронной почты и использует игнорируемые социальные сети
Руководители и ИТ-администраторы стали объектом сложной фишинговой атаки, которая происходит в LinkedIn, а не в их почтовых ящиках.
Исследователи безопасности ReliaQuest заявили, что они столкнулись с новой атакой, которая сочетает в себе законные проекты пентестирования Python, загрузку неопубликованных DLL и поддельные объявления о вакансиях для заражения «ценных целей» троянами удаленного доступа (RAT).
Согласно отчету ReliaQuest, жертв тщательно отбирают и отправляют им приглашение на бизнес-проект или работу. Сообщение LinkedIn содержит ссылку для скачивания, при нажатии на которую загружается самораспаковывающийся архив WinRAR (SFX). Имя файла обычно соответствует роли жертвы, например дорожная карта продукта или план проекта.
Предоставление RAT
Когда жертва открывает архив, несколько файлов автоматически извлекаются в одну и ту же папку, благодаря чему пакет выглядит подлинным. Затем жертва начинает Входящая в архив PDF-ридер предполагает, что открывает обычный документ.
Затем эта программа чтения загружает вредоносную DLL, которая также была включена в архив. Этот метод, известный как неопубликованная загрузка DLL, выполняет код злоумышленника, не вызывая немедленных предупреждений безопасности, говорится в сообщении.
Вредоносная DLL добавляет ключ реестра Windows Run для обеспечения устойчивости, а затем запускает портативный интерпретатор Python, который также был включен в архив. Этот инструмент запускает хакерский инструмент с открытым исходным кодом в кодировке Base64 непосредственно в памяти.
Взамен вредоносная программа начинает взаимодействовать с управляющим сервером, что является стандартным поведением для троянцев удаленного доступа.
«Эта кампания служит напоминанием о том, что фишинг не ограничивается только почтовыми ящиками. Фишинговые атаки происходят через альтернативные каналы, такие как социальные сети, поисковые системы и приложения для обмена сообщениями — платформы, которые многие компании до сих пор игнорируют в своих стратегиях безопасности», — заявила ReliaQuest.
«Платформы социальных сетей, особенно те, к которым обычно осуществляется доступ через корпоративные устройства, предоставляют злоумышленникам прямой доступ к ключевым целям, таким как руководители и ИТ-администраторы, что делает их бесценными для киберпреступников».
Над Киберньюс
Лучшая антивирусная программа на любой бюджет
Следите за TechRadar в Новостях Google. И Добавьте нас в качестве предпочтительного источника чтобы получать новости, обзоры и мнения наших экспертов в своих лентах. Обязательно нажмите кнопку «Подписаться»!
И ты, конечно, тоже можешь Следите за TechRadar в TikTok за новостями, обзорами, распаковками в видео-форме и получайте от нас регулярные обновления WhatsApp к.
