Des chercheurs en cybersécurité ont découvert une nouvelle campagne de phishing qui exploite les messages privés des réseaux sociaux pour diffuser des charges malveillantes, probablement dans le but de déployer un cheval de Troie d'accès à distance (RAT).
L'activité fournit “des fichiers armés via le chargement latéral de la bibliothèque de liens dynamiques (DLL), combinés à un script de test d'intrusion Python légitime et open source”, a déclaré ReliaQuest dans un rapport partagé avec The Hacker News.
L'attaque consiste à approcher des personnes de grande valeur via des messages envoyés sur LinkedIn, à instaurer la confiance et à les inciter à télécharger une archive auto-extractible WinRAR (SFX) malveillante. Une fois démarrée, l'archive extrait quatre composants différents :
- Une application de lecture PDF open source légitime
- Une DLL malveillante que le lecteur PDF télécharge
- Un exécutable portable interpréteur Python (PE)
- Une archive RAR qui sert probablement de leurre
La chaîne d'infection est activée lors de l'exécution de l'application de lecture PDF, provoquant le téléchargement de la DLL malveillante. L'utilisation du chargement latéral de DLL est devenue une technique de plus en plus courante adoptée par les acteurs malveillants pour échapper à la détection et masquer les signes d'activité malveillante en exploitant des processus légitimes.
Au cours de la semaine dernière, au moins trois campagnes documentées ont exploité le chargement latéral de DLL pour diffuser des familles de logiciels malveillants identifiées comme LOTUSLITE et PDFSIDER, ainsi que d'autres chevaux de Troie et voleurs d'informations de base.
Dans la campagne observée par ReliaQuest, la DLL téléchargée est utilisée pour placer l'interpréteur Python sur le système et créer une clé d'exécution du registre Windows qui garantit que l'interpréteur Python s'exécute automatiquement à chaque connexion. La principale responsabilité de l'interprète est d'exécuter le shellcode open source codé en Base64 qui s'exécute directement en mémoire pour éviter de laisser des artefacts médico-légaux sur le disque.
La charge utile finale tente de communiquer avec un serveur externe, accordant aux attaquants un accès à distance persistant à l'hôte compromis et extrayant les données intéressantes.
L'abus d'outils open source légitimes, ainsi que l'utilisation de messages de phishing envoyés sur les plateformes de médias sociaux, montrent que les attaques de phishing ne se limitent pas aux e-mails et que les méthodes de livraison alternatives peuvent exploiter les failles de sécurité pour augmenter les chances de succès et d'entrée dans les environnements d'entreprise.
ReliaQuest a déclaré à The Hacker News que la campagne semble vaste et opportuniste, avec une activité couvrant plusieurs secteurs et régions. “Cela dit, étant donné que cette activité se déroule dans les messages directs et que les plateformes de médias sociaux sont généralement moins surveillées que le courrier électronique, il est difficile d'en quantifier l'ampleur”, a-t-il ajouté.
“Cette approche permet aux attaquants d'éviter d'être détectés et d'étendre leurs opérations avec un minimum d'effort tout en conservant un contrôle persistant sur les systèmes compromis”, a déclaré la société de cybersécurité. “Une fois à l'intérieur, ils peuvent élever leurs privilèges, se déplacer latéralement à travers les réseaux et exfiltrer des données.”
Ce n’est pas la première fois que LinkedIn est utilisé à mauvais escient pour des attaques ciblées. Ces dernières années, plusieurs acteurs nord-coréens de la menace, y compris ceux liés aux campagnes CryptoCore et Contagious Interview, ont ciblé leurs victimes en les contactant sur LinkedIn sous couvert d'une opportunité d'emploi et en les convainquant de lancer un projet malveillant dans le cadre d'une prétendue évaluation ou révision de code.
En mars 2025, Cofense a également détaillé une campagne de phishing sur le thème de LinkedIn qui utilise des leurres liés aux notifications LinkedIn InMail pour inciter les destinataires à cliquer sur le bouton « Lire la suite » ou « Répondre à » et à télécharger un logiciel de bureau à distance développé par ConnectWise pour obtenir un contrôle total sur les hôtes des victimes.
« Les plateformes de médias sociaux couramment utilisées par les entreprises représentent une lacune dans la posture de sécurité de la plupart des organisations », a déclaré ReliaQuest. “Contrairement au courrier électronique, où les organisations ont tendance à disposer d'outils de surveillance de la sécurité, les messages privés sur les réseaux sociaux manquent de visibilité et de contrôles de sécurité, ce qui en fait un canal de diffusion attrayant pour les campagnes de phishing.”
“Les organisations doivent reconnaître les médias sociaux comme une surface d'attaque critique pour l'accès initial et étendre leurs défenses au-delà des contrôles axés sur le courrier électronique.”
