Los investigadores de ciberseguridad han descubierto una nueva campaña de phishing que explota los mensajes privados de las redes sociales para propagar cargas útiles maliciosas, probablemente con la intención de implementar un troyano de acceso remoto (RAT).
La actividad entrega «archivos armados a través de la descarga lateral de la Biblioteca de vínculos dinámicos (DLL), combinados con un script de prueba de penetración Python legítimo y de código abierto», dijo ReliaQuest en un informe compartido con The Hacker News.
El ataque implica acercarse a personas de alto valor a través de mensajes enviados en LinkedIn, generar confianza y engañarlos para que descarguen un archivo autoextraíble (SFX) WinRAR malicioso. Una vez iniciado, el archivo extrae cuatro componentes diferentes:
- Una aplicación legítima de lectura de PDF de código abierto
- Una DLL maliciosa que el lector de PDF descarga
- Un ejecutable portátil (PE) del intérprete de Python
- Un archivo RAR que probablemente sirva como señuelo
La cadena de infección se activa cuando se ejecuta la aplicación de lectura de PDF, lo que provoca que se descargue la DLL maliciosa. el uso de Carga lateral de DLL se ha convertido en una técnica cada vez más común adoptada por los actores de amenazas para evadir la detección y ocultar signos de actividad maliciosa aprovechando procesos legítimos.
Durante la semana pasada, al menos tres campañas documentadas aprovecharon la carga lateral de DLL para entregar familias de malware rastreadas como LOTUSLITA y PDFSIDERjunto con otros troyanos básicos y ladrones de información.
En la campaña observada por ReliaQuest, la DLL descargada se utiliza para colocar el intérprete de Python en el sistema y crear una clave de ejecución del Registro de Windows que garantiza que el intérprete de Python se ejecute automáticamente en cada inicio de sesión. La responsabilidad principal del intérprete es ejecutar un código shell de código abierto codificado en Base64 que se ejecuta directamente en la memoria para evitar dejar artefactos forenses en el disco.
La carga útil final intenta comunicarse con un servidor externo, otorgando a los atacantes acceso remoto persistente al host comprometido y extrayendo datos de interés.
El abuso de herramientas legítimas de código abierto, junto con el uso de mensajes de phishing enviados en plataformas de redes sociales, muestra que los ataques de phishing no se limitan únicamente a los correos electrónicos y que los métodos de entrega alternativos pueden explotar las brechas de seguridad para aumentar las probabilidades de éxito e ingresar a los entornos corporativos.
ReliaQuest dijo a The Hacker News que la campaña parece amplia y oportunista, con actividad que abarca varios sectores y regiones. «Dicho esto, debido a que esta actividad se desarrolla en mensajes directos y las plataformas de redes sociales suelen estar menos monitoreadas que el correo electrónico, es difícil cuantificar la escala total», añadió.
«Este enfoque permite a los atacantes evitar la detección y escalar sus operaciones con un mínimo esfuerzo mientras mantienen un control persistente sobre los sistemas comprometidos», dijo la empresa de ciberseguridad. «Una vez dentro, pueden aumentar los privilegios, moverse lateralmente a través de las redes y exfiltrar datos».
Esta no es la primera vez que se utiliza indebidamente LinkedIn para ataques dirigidos. En los últimos años, múltiples norcoreano actores de amenazaincluidos aquellos vinculados a la CriptoCore y Entrevista contagiosa campañas, han señalado a las víctimas contactándolas en LinkedIn con el pretexto de una oportunidad de trabajo y convenciéndolas de ejecutar un proyecto malicioso como parte de una supuesta evaluación o revisión de código.
En marzo de 2025, Cofense también detallado una campaña de phishing con temática de LinkedIn que emplea señuelos relacionados con notificaciones InMail de LinkedIn para lograr que los destinatarios hagan clic en el botón «Leer más» o «Responder a» y descarguen el software de escritorio remoto desarrollado por ConnectWise para obtener un control total sobre los hosts de las víctimas.
«Las plataformas de redes sociales comúnmente utilizadas por las empresas representan una brecha en la postura de seguridad de la mayoría de las organizaciones», afirmó ReliaQuest. «A diferencia del correo electrónico, donde las organizaciones tienden a tener herramientas de monitoreo de seguridad, los mensajes privados de las redes sociales carecen de visibilidad y controles de seguridad, lo que los convierte en un canal de entrega atractivo para campañas de phishing».
«Las organizaciones deben reconocer las redes sociales como una superficie de ataque crítica para el acceso inicial y extender sus defensas más allá de los controles centrados en el correo electrónico».
Fuente