Uma nova campanha de phishing usa mensagens privadas do LinkedIn para distribuir trojans de acesso remoto (RAT) em empresas de diversos setores. A operação, descoberta pela ReliaQuest, explora uma brecha crítica na segurança corporativa, que não monitora mensagens em redes sociais.
Como o golpe funciona
A equipe de pesquisa da ReliaQuest identificou a campanha ao monitorar atividades suspeitas envolvendo sideloading de DLL, uma técnica cada vez mais comum usada por atacantes para evitar detecção.
Os pesquisadores notaram que criminosos estabeleciam contato com indivíduos de alto valor por meio do LinkedIn, conquistando confiança gradualmente antes de enviar a carga maliciosa.
A campanha parece ser ampla e oportunista, com atividades abrangendo múltiplos setores e regiões geográficas. No entanto, como essa atividade ocorre em mensagens diretas e as plataformas de mídia social são normalmente menos monitoradas que o e-mail, é difícil quantificar a escala total do ataque.
Apenas na última semana, pelo menos três campanhas documentadas utilizaram sideloading de DLL para distribuir famílias de malware rastreadas como LOTUSLITE e PDFSIDER, além de outros trojans comuns e roubadores de informações.
Ataque explora engenharia social e técnicas avançadas
O ataque começa com abordagem direcionada no LinkedIn. Os criminosos entram em contato com vítimas de alto valor, geralmente profissionais que têm acesso a sistemas críticos ou informações sensíveis nas empresas. O contato inicial é aparentemente legítimo, muitas vezes simulando uma oportunidade de emprego, parceria ou solicitação de consultoria.
Após estabelecer confiança através de algumas conversas, os atacantes convencem a vítima a baixar um arquivo que supostamente contém documentos relacionados ao projeto, proposta ou oportunidade discutida. O arquivo é um arquivo autoextraível (SFX) WinRAR malicioso que parece inofensivo.
Uma vez iniciado, o arquivo extrai quatro componentes diferentes no sistema da vítima. Primeiro, um aplicativo leitor de PDF de código aberto completamente legítimo. Segundo, uma DLL maliciosa que será carregada lateralmente pelo leitor de PDF. Terceiro, um executável portátil do interpretador Python.
E quarto, um arquivo RAR que provavelmente serve como isca – contendo documentos falsos para manter a aparência de legitimidade.
Sideloading de DLL oculta atividade maliciosa
O carregamento lateral de DLLs tornou-se uma técnica cada vez mais comum adotada por agentes de ameaças para evitar detecção e ocultar sinais de atividades maliciosas. A técnica aproveita-se do comportamento legítimo de aplicativos que carregam bibliotecas dinâmicas (DLLs), fazendo com que um programa confiável execute código malicioso sem levantar suspeitas.
Como o processo é iniciado por um aplicativo legítimo e assinado digitalmente, a maioria dos antivírus e sistemas de detecção não identifica a ameaça. Do ponto de vista do sistema operacional, tudo parece completamente normal, como um leitor de PDF abrindo documentos.
Malware executa direto na memória para evitar detecção
A DLL maliciosa carregada lateralmente tem duas funções principais. Primeiro, ela injeta o interpretador Python no sistema da vítima. Segundo, cria uma chave Run no Registro do Windows que garante que o interpretador Python seja executado automaticamente a cada login do usuário, garantindo persistência no sistema comprometido.
A principal responsabilidade do interpretador Python é executar um shellcode de código aberto codificado em Base64.
O diferencial técnico aqui é que o shellcode é executado diretamente na memória, sem nunca ser gravado no disco rígido. Isso evita deixar artefatos forenses que poderiam ser detectados por scanners de antivírus ou análises de segurança posteriores.
A carga final do ataque tenta estabelecer comunicação com um servidor externo controlado pelos atacantes. Uma vez estabelecida a conexão, os criminosos obtêm acesso remoto persistente ao host comprometido, podendo controlar o sistema remotamente e exfiltrar dados de interesse.
Invasores podem escalar privilégios
Segundo a ReliaQuest, essa abordagem permite que os invasores contornem a detecção e ampliem suas operações com o mínimo de esforço, mantendo controle persistente sobre os sistemas comprometidos.
“Uma vez dentro, eles podem escalar privilégios, mover-se lateralmente pelas redes e extrair dados”, afirmou a empresa de segurança cibernética. O acesso inicial obtido através da vítima no LinkedIn pode servir como ponto de entrada para comprometimento de toda a infraestrutura corporativa.
Criminosos frequentemente usam o acesso inicial para mapear a rede interna, identificar sistemas críticos, elevar permissões e eventualmente alcançar servidores de banco de dados, controladores de domínio ou sistemas de backup, onde residem os dados mais valiosos da organização.
LinkedIn é alvo recorrente de campanhas sofisticadas
Esta não é a primeira vez que o LinkedIn é usado indevidamente para ataques direcionados. Nos últimos anos, diversos agentes de ameaças norte-coreanos, incluindo aqueles ligados às campanhas CryptoCore e Contagious Interview, selecionaram vítimas entrando em contato com elas no LinkedIn.
O modus operandi é similar. Os criminosos fazem contato sob pretexto de uma oportunidade de emprego e convencem as vítimas a executar um projeto malicioso como parte de uma suposta avaliação técnica ou revisão de código. Profissionais de tecnologia são alvos especialmente atrativos, já que geralmente têm acesso privilegiado a sistemas e dados sensíveis.
Em março de 2025, a Cofense também detalhou uma campanha de phishing com tema do LinkedIn que empregava iscas relacionadas a notificações do LinkedIn InMail. A técnica fazia com que os destinatários clicassem em botões “Leia mais” ou “Responder” e baixassem software de desktop remoto desenvolvido pela ConnectWise para obter controle total sobre os hosts das vítimas.
Redes sociais representam brecha crítica na segurança
A ReliaQuest alertou que as plataformas de mídia social comumente usadas pelas empresas representam uma lacuna na postura de segurança da maioria das organizações.
“Ao contrário do e-mail, onde as organizações tendem a ter ferramentas de monitoramento de segurança, as mensagens privadas nas mídias sociais carecem de visibilidade e controles de segurança, tornando-as um canal de entrega atraente para campanhas de phishing”, afirmou a empresa.
Enquanto e-mails corporativos passam por gateways de segurança, filtros anti-spam, análise de links maliciosos e sandboxing de anexos, mensagens do LinkedIn, WhatsApp, Telegram ou outras plataformas sociais chegam diretamente aos funcionários sem qualquer tipo de inspeção.
Além disso, usuários tendem a confiar mais em mensagens recebidas em redes sociais, especialmente quando vêm de perfis aparentemente legítimos com conexões em comum, histórico de posts e recomendações.
Organizações devem expandir defesas além do e-mail
A ReliaQuest recomenda que as organizações reconheçam as mídias sociais como uma superfície de ataque crítica para acesso inicial e estendam suas defesas além dos controles centrados no e-mail.
Entre as medidas de proteção recomendadas estão: treinamento específico para funcionários sobre riscos de phishing em redes sociais, políticas claras sobre download de arquivos recebidos via mensagens diretas, implementação de EDR (Endpoint Detection and Response) capaz de detectar sideloading de DLL, monitoramento de comportamento anômalo em endpoints e restrições de execução de scripts e interpretadores em estações de trabalho.
Profissionais devem desconfiar de oportunidades “boas demais para ser verdade” recebidas via LinkedIn, sempre verificar a autenticidade de recrutadores e empresas antes de baixar qualquer arquivo, nunca executar códigos ou projetos enviados por desconhecidos e reportar imediatamente contatos suspeitos para as equipes de segurança.
O abuso de ferramentas open source legítimas, juntamente com o uso de mensagens de phishing em plataformas de mídia social, mostra que os ataques de phishing não se limitam apenas a e-mails e que métodos alternativos de entrega podem explorar brechas de segurança para aumentar as chances de sucesso e invadir ambientes corporativos.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.