Los investigadores de ciberseguridad tienen descubierto una nueva campaña de suplantación de identidad que aprovecha los mensajes privados de las redes sociales para propagar cargas maliciosas, probablemente con la intención de implementar un troyano de acceso remoto (RAT).
La actividad genera «archivos convertidos en armas mediante la descarga lateral de la Biblioteca de Enlaces Dinámicos (DLL), combinados con un script legítimo de código abierto para probar Python», afirma ReliaQuest en un informe compartido con The Hacker News.
El ataque consiste en acercarse a personas de alto valor a través de mensajes enviados en LinkedIn, establecer confianza y engañarlas para que descarguen un archivo autoextraíble (SFX) malicioso de WinRAR. Una vez lanzado, el archivo extrae cuatro componentes diferentes:
- Una aplicación legítima de lectura de PDF de código abierto
- Una DLL maliciosa que el lector de PDF descarga de forma lateral
- Un ejecutable portátil (PE) del intérprete de Python
- Un archivo RAR que probablemente sirva como señuelo
La cadena de infección se activa cuando se ejecuta la aplicación de lectura de PDF, lo que provoca que la DLL falsa se descargue de forma lateral. El uso de Carga lateral de DLL se ha convertido en una técnica cada vez más común adoptada por los actores de amenazas para evadir la detección y ocultar las señales de actividad maliciosa aprovechando los procesos legítimos.
Durante la semana pasada, al menos tres campañas documentadas aprovecharon la carga lateral de DLL para ofrecer familias de malware rastreadas como LOTO LITE y PDF SIDER , junto con otros troyanos básicos y ladrones de información .
En la campaña observada por ReliaQuest, la DLL de carga lateral se utiliza para colocar el intérprete de Python en el sistema y crear una clave de ejecución del registro de Windows que garantiza que el intérprete de Python se ejecute automáticamente cada vez que inicie sesión. La responsabilidad principal del intérprete es ejecutar un código shell de código abierto codificado en Base64 que se ejecute directamente en la memoria para evitar dejar artefactos forenses en el disco.
La última carga útil intenta comunicarse con un servidor externo, lo que otorga a los atacantes un acceso remoto persistente al host comprometido y extrae los datos de interés.
El abuso de herramientas legítimas de código abierto, junto con el uso de mensajes de suplantación de identidad enviados en plataformas de redes sociales, demuestra que los ataques de suplantación de identidad no se limitan únicamente a los correos electrónicos y que los métodos de entrega alternativos pueden aprovechar las brechas de seguridad para aumentar las probabilidades de éxito y entrar en los entornos corporativos.
ReliaQuest dijo a The Hacker News que la campaña parece ser amplia y oportunista, con una actividad que abarca varios sectores y regiones. «Dicho esto, dado que esta actividad se refleja en los mensajes directos y las plataformas de redes sociales suelen estar menos monitoreadas que el correo electrónico, es difícil cuantificar la escala total», agregó.
«Este enfoque permite a los atacantes eludir la detección y escalar sus operaciones con un mínimo esfuerzo, al tiempo que mantienen un control persistente sobre los sistemas comprometidos», dijo la empresa de ciberseguridad. «Una vez dentro, pueden aumentar los privilegios, moverse lateralmente a través de las redes y filtrar los datos».
No es la primera vez que LinkedIn se utiliza indebidamente para realizar ataques dirigidos. En los últimos años, múltiples norcoreano actores de amenazas , incluidos los vinculados a la CryptoCore y Entrevista contagiosa campañas, han señalado a las víctimas poniéndose en contacto con ellas en LinkedIn con el pretexto de una oportunidad laboral y convenciéndolas de que ejecuten un proyecto malicioso como parte de una supuesta evaluación o revisión del código.
En marzo de 2025, Cofense también detallada una campaña de suplantación de identidad con temática de LinkedIn que emplea señuelos relacionados con las notificaciones de LinkedIn InMail para que los destinatarios hagan clic en el botón «Leer más» o «Responder a» y descarguen el software de escritorio remoto desarrollado por ConnectWise para tener un control total sobre los anfitriones de las víctimas.
«Las plataformas de redes sociales que suelen utilizar las empresas representan una brecha en la postura de seguridad de la mayoría de las organizaciones», afirma ReliaQuest. «A diferencia del correo electrónico, en el que las organizaciones suelen disponer de herramientas de supervisión de la seguridad, los mensajes privados de las redes sociales carecen de visibilidad y controles de seguridad, lo que los convierte en un canal de entrega atractivo para las campañas de suplantación de identidad».
«Las organizaciones deben reconocer las redes sociales como una superficie de ataque crítica para el acceso inicial y extender sus defensas más allá de los controles centrados en el correo electrónico».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS