Investigadores de ciberseguridad han descubierto una nueva campaña de phishing que explota mensajes privados en las redes sociales para distribuir cargas útiles maliciosas, probablemente con la intención de implementar un troyano de acceso remoto (RAT).
La actividad entrega “archivos armados a través de la descarga de una biblioteca de enlaces dinámicos (DLL), combinado con un script de prueba de Python de código abierto legítimo”, dijo ReliaQuest en un informe compartido con The Hacker News.
El ataque implica apuntar a personas de alto perfil a través de mensajes enviados en LinkedIn, generar confianza y engañarlos para que descarguen un archivo autoextraíble (SFX) malicioso de WinRAR. Una vez iniciado, el archivo extrae cuatro componentes diferentes:
- Una aplicación legítima de lectura de PDF de código abierto
- Una DLL maliciosa descargada por el lector de PDF
- Un ejecutable portátil (PE) del intérprete de Python
- Un archivo RAR que probablemente se utilice como señuelo
La cadena de infección se activa cuando se ejecuta la aplicación de lectura de PDF, lo que provoca que se descargue la DLL no deseada. El uso de descarga de DLL se ha convertido en una técnica cada vez más común utilizada por los actores de amenazas para evadir la detección y ocultar signos de actividad maliciosa mediante la explotación de procesos legítimos.
La semana pasada, al menos tres campañas documentadas utilizaron la descarga de DLL para distribuir familias de malware llamadas LOTUSLITE y PDFSIDER, así como otros troyanos estándar y ladrones de información.
En la campaña observada por ReliaQuest, la DLL descargada se utiliza para colocar el intérprete de Python en el sistema y crear una clave de registro de Windows que garantiza que el intérprete de Python se ejecute automáticamente cada vez que inicie sesión. La tarea principal del intérprete es ejecutar un código de shell codificado en Base64 de código abierto que se ejecuta directamente en la memoria para evitar dejar artefactos forenses en el disco.
La carga útil final intenta comunicarse con un servidor externo, brindando a los atacantes acceso remoto persistente al host comprometido y extrayendo datos relevantes.
El abuso de herramientas legítimas de código abierto junto con el uso de mensajes de phishing enviados a través de plataformas de redes sociales muestra que los ataques de phishing no se limitan sólo al correo electrónico y que los métodos de entrega alternativos pueden explotar las vulnerabilidades de seguridad para aumentar las posibilidades de éxito y penetración en entornos corporativos.
ReliaQuest dijo a The Hacker News que la campaña parece amplia y oportunista, con actividades que abarcan varios sectores y regiones. “Sin embargo, debido a que esta actividad ocurre en mensajes directos y las plataformas de redes sociales suelen estar menos monitoreadas que el correo electrónico, es difícil cuantificar el alcance total”, continuó.
“Este enfoque permite a los atacantes evadir la detección y escalar sus operaciones con un mínimo esfuerzo, mientras mantienen el control continuo de los sistemas comprometidos”, dijo la firma de ciberseguridad. “Una vez dentro, pueden aumentar sus privilegios, moverse lateralmente a través de las redes y exfiltrar datos”.
Esta no es la primera vez que se utiliza LinkedIn para ataques dirigidos. En los últimos años, varios actores de amenazas norcoreanos, incluidos aquellos asociados con las campañas CryptoCore y Contagious Interview, se han dirigido a las víctimas contactándolas bajo el pretexto de una oferta de trabajo en LinkedIn y convenciéndolas de llevar a cabo un proyecto malicioso como parte de una supuesta evaluación o revisión de código.
En marzo de 2025, Cofense también detalló una campaña de phishing con temática de LinkedIn que utiliza señuelos asociados con notificaciones InMail de LinkedIn para engañar a los destinatarios para que hagan clic en el botón “Leer más” o “Responder” y descarguen software de escritorio remoto desarrollado por ConnectWise para obtener un control completo de los hosts de las víctimas.
“Las plataformas de redes sociales, comúnmente utilizadas por las empresas, representan una brecha en la postura de seguridad de la mayoría de las organizaciones”, dijo ReliaQuest. “A diferencia del correo electrónico, donde las empresas suelen tener herramientas de monitoreo de seguridad, los mensajes privados en las redes sociales carecen de visibilidad y controles de seguridad, lo que los convierte en un canal de entrega atractivo para campañas de phishing”.
“Las organizaciones deben reconocer las redes sociales como una superficie crítica de ataque de primer acceso y ampliar sus defensas más allá de los controles centrados en el correo electrónico”.
About The Author
