Pesquisadores de segurança cibernética identificaram uma nova campanha de phishing que utiliza mensagens privadas em redes sociais como vetor de ataque para distribuir cargas maliciosas e implantar um RAT (Remote Access Trojan) nos sistemas das vítimas. Diferentemente das campanhas tradicionais baseadas em e-mail, a ofensiva explora o LinkedIn, abusando da confiança inerente às interações profissionais na plataforma.
Segundo um relatório divulgado pela ReliaQuest, os invasores distribuem arquivos maliciosos por meio da técnica de DLL sideloading, combinada com o uso de um script legítimo e open source de pentest escrito em Python. Essa abordagem permite que o malware seja executado dentro de processos confiáveis, reduzindo de forma significativa as chances de detecção por soluções tradicionais de segurança.
O ataque tem início com o contato direto a profissionais considerados alvos de alto valor, como executivos, gestores e especialistas técnicos. Após estabelecer uma relação de confiança, os criminosos convencem a vítima a baixar um arquivo compactado WinRAR do tipo self-extracting archive (SFX). Quando executado, o pacote extrai quatro componentes principais:
-
Um aplicativo legítimo e open source de leitura de PDF
-
Uma DLL maliciosa, carregada de forma lateral pelo leitor de PDF
-
Um executável portátil do interpretador Python
-
Um arquivo RAR utilizado como isca para despistar a vítima
A cadeia de infecção é ativada quando o leitor de PDF legítimo é iniciado. Nesse momento, a DLL maliciosa é carregada automaticamente pelo aplicativo confiável, em uma técnica conhecida como DLL side-loading, cada vez mais explorada por hackers por se apoiar em binários válidos do sistema operacional.
Nos últimos dias, ao menos três campanhas distintas já recorreram a esse método para distribuir famílias de malware como LOTUSLITE e PDFSIDER, além de outros trojans e stealers amplamente utilizados no ecossistema do cibercrime.
Na campanha analisada pela ReliaQuest, a DLL carregada de forma lateral instala o interpretador Python no sistema da vítima e cria uma chave Run no Registro do Windows, garantindo persistência ao executar o malware automaticamente a cada login. Em seguida, o Python executa um shellcode open source codificado em Base64, carregado diretamente na memória uma técnica desenhada para minimizar rastros forenses em disco.
O payload final estabelece comunicação com um servidor externo, concedendo aos atacantes acesso remoto persistente à máquina comprometida e permitindo a exfiltração de dados sensíveis. A partir desse ponto, os invasores podem escalar privilégios, realizar movimentação lateral na rede e ampliar significativamente o impacto do ataque no ambiente corporativo.
De acordo com a ReliaQuest, a campanha apresenta um caráter amplo e oportunista, atingindo múltiplos setores e regiões. No entanto, por ocorrer em mensagens privadas de redes sociais — geralmente menos monitoradas do que e-mails corporativos —, a real dimensão da ofensiva ainda é difícil de mensurar.
O uso de plataformas sociais como vetor de ataque não é inédito. Nos últimos anos, diversos grupos hackers associados à Coreia do Norte exploraram o LinkedIn em campanhas como CryptoCore e Contagious Interview, utilizando falsas ofertas de emprego e testes técnicos maliciosos. Em março de 2025, a Cofense também alertou para uma campanha que empregava falsas notificações do LinkedIn para induzir vítimas à instalação de softwares de acesso remoto.
Para os pesquisadores, o caso reforça um alerta crítico: redes sociais corporativas representam uma lacuna relevante na postura de segurança de muitas organizações. Diferentemente do e-mail, que conta com camadas robustas de monitoramento, mensagens privadas nessas plataformas seguem praticamente invisíveis para os times de segurança, tornando-se um canal cada vez mais atrativo para ataques de phishing sofisticados.
