Исследователи кибербезопасности из компании ReliaQuest поделились с изданием The Hacker News отчетом о новой фишинговой кампании, нацеленной на высокопоставленных лиц. Злоумышленники используют платформу LinkedIn для установления доверительного контакта с жертвами через личные сообщения. Конечной целью этой социальной инженерии является развертывание трояна удаленного доступа (RAT), который позволяет хакерам перехватывать контроль над зараженными системами.
Атака начинается с убеждения жертвы загрузить вредоносный самораспаковывающийся архив WinRAR (SFX). Техническая методология злоумышленников опирается на использование «военизированных файлов через подгрузку динамически подключаемой библиотеки (DLL sideloading)» в сочетании с легитимными скриптами с открытым исходным кодом. После запуска архив извлекает четыре компонента: подлинное приложение для чтения PDF с открытым исходным кодом, вредоносную библиотеку DLL, переносимый исполняемый файл (PE) интерпретатора Python и файл RAR, который, вероятно, служит отвлекающим маневром.
Механизм заражения срабатывает в момент, когда пользователь открывает легитимный PDF-ридер. Программа автоматически подгружает фальшивую DLL, которая доставляет полезную нагрузку, сбрасывая интерпретатор Python в систему. Чтобы обеспечить постоянное присутствие в сети жертвы, вредоносное ПО создает ключ автозагрузки в реестре Windows, гарантируя запуск интерпретатора при каждом входе в систему.
Для обхода средств защиты используется техника бесфайлового вредоносного ПО. Интерпретатор выполняет шелл-код с открытым исходным кодом, закодированный в Base64, непосредственно в оперативной памяти, избегая создания цифровых следов на жестком диске. После закрепления полезная нагрузка устанавливает связь с внешним сервером, предоставляя злоумышленникам устойчивый удаленный доступ для кражи данных, повышения привилегий и бокового перемещения по корпоративной сети.
Специалисты отмечают резкий рост подобных атак: только за последнюю неделю было зафиксировано как минимум три кампании, использующие метод DLL sideloading. Среди выявленных семейств вредоносного ПО, применяющих эту тактику, исследователи называют LOTUSLITE и PDFSIDER. Хакеры все чаще прибегают к злоупотреблению легитимными процессами, так как это значительно усложняет обнаружение угроз традиционными антивирусными средствами.
Контекст угрозы расширяется и другими недавними инцидентами. В марте 2025 года компания Cofense подробно описала отдельную фишинговую кампанию, также связанную с LinkedIn. В том случае векторами атаки служили фишинговые приманки, имитирующие уведомления LinkedIn InMail. Жертв обманом заставляли нажимать кнопки «Читать далее» или «Ответить», что приводило к установке легитимного программного обеспечения для удаленного рабочего стола ConnectWise, используемого хакерами в злонамеренных целях.
Исторически подобные методы часто связывают с северокорейскими кибергруппировками. Кампании, известные под названиями CryptoCore и Contagious Interview, ранее уже использовали LinkedIn для атак. Их тактика часто включала предложения о работе или просьбы провести «проверку кода», в ходе которой жертву убеждали запустить вредоносный проект.
Аналитики ReliaQuest подчеркивают, что масштаб текущей угрозы широк и носит оппортунистический характер, затрагивая различные сектора и регионы. Однако точную оценку количества пострадавших дать сложно из-за специфики платформы: личные сообщения в социальных сетях, в отличие от корпоративной электронной почты, редко подвергаются централизованному мониторингу безопасности. Это создает критический пробел в защите организаций, превращая платформы вроде LinkedIn в удобную «поверхность атаки».
Изображение носит иллюстративный характер
Атака начинается с убеждения жертвы загрузить вредоносный самораспаковывающийся архив WinRAR (SFX). Техническая методология злоумышленников опирается на использование «военизированных файлов через подгрузку динамически подключаемой библиотеки (DLL sideloading)» в сочетании с легитимными скриптами с открытым исходным кодом. После запуска архив извлекает четыре компонента: подлинное приложение для чтения PDF с открытым исходным кодом, вредоносную библиотеку DLL, переносимый исполняемый файл (PE) интерпретатора Python и файл RAR, который, вероятно, служит отвлекающим маневром.
Механизм заражения срабатывает в момент, когда пользователь открывает легитимный PDF-ридер. Программа автоматически подгружает фальшивую DLL, которая доставляет полезную нагрузку, сбрасывая интерпретатор Python в систему. Чтобы обеспечить постоянное присутствие в сети жертвы, вредоносное ПО создает ключ автозагрузки в реестре Windows, гарантируя запуск интерпретатора при каждом входе в систему.
Для обхода средств защиты используется техника бесфайлового вредоносного ПО. Интерпретатор выполняет шелл-код с открытым исходным кодом, закодированный в Base64, непосредственно в оперативной памяти, избегая создания цифровых следов на жестком диске. После закрепления полезная нагрузка устанавливает связь с внешним сервером, предоставляя злоумышленникам устойчивый удаленный доступ для кражи данных, повышения привилегий и бокового перемещения по корпоративной сети.
Специалисты отмечают резкий рост подобных атак: только за последнюю неделю было зафиксировано как минимум три кампании, использующие метод DLL sideloading. Среди выявленных семейств вредоносного ПО, применяющих эту тактику, исследователи называют LOTUSLITE и PDFSIDER. Хакеры все чаще прибегают к злоупотреблению легитимными процессами, так как это значительно усложняет обнаружение угроз традиционными антивирусными средствами.
Контекст угрозы расширяется и другими недавними инцидентами. В марте 2025 года компания Cofense подробно описала отдельную фишинговую кампанию, также связанную с LinkedIn. В том случае векторами атаки служили фишинговые приманки, имитирующие уведомления LinkedIn InMail. Жертв обманом заставляли нажимать кнопки «Читать далее» или «Ответить», что приводило к установке легитимного программного обеспечения для удаленного рабочего стола ConnectWise, используемого хакерами в злонамеренных целях.
Исторически подобные методы часто связывают с северокорейскими кибергруппировками. Кампании, известные под названиями CryptoCore и Contagious Interview, ранее уже использовали LinkedIn для атак. Их тактика часто включала предложения о работе или просьбы провести «проверку кода», в ходе которой жертву убеждали запустить вредоносный проект.
Аналитики ReliaQuest подчеркивают, что масштаб текущей угрозы широк и носит оппортунистический характер, затрагивая различные сектора и регионы. Однако точную оценку количества пострадавших дать сложно из-за специфики платформы: личные сообщения в социальных сетях, в отличие от корпоративной электронной почты, редко подвергаются централизованному мониторингу безопасности. Это создает критический пробел в защите организаций, превращая платформы вроде LinkedIn в удобную «поверхность атаки».
