Hackers Use LinkedIn Messages to Spread RAT Malware Through DLL Sideloading

Campagne de Phishing via LinkedIn : Exploitation de DLL Sideloading pour Distribuer un RAT

Une nouvelle campagne de phishing utilise les messages privés sur les réseaux sociaux, notamment LinkedIn, pour distribuer des charges utiles malveillantes. Les attaquants ciblent des individus à forte valeur ajoutée en établissant un contact de confiance avant de les inciter à télécharger une archive auto-extractible WinRAR. Cette archive contient plusieurs éléments : un lecteur PDF légitime, une DLL malveillante, un interpréteur Python open-source et un fichier RAR qui sert probablement de leurre.

L’infection se déclenche lorsque le lecteur PDF est exécuté, provoquant le chargement de la DLL malveillante via une technique de “DLL sideloading”. Cette méthode permet aux cybercriminels d’éluder les systèmes de détection en exploitant des processus légitimes. La DLL compromise dépose ensuite l’interpréteur Python sur le système et crée une clé de registre pour assurer son exécution automatique à chaque connexion. L’interpréteur exécute alors un shellcode encodé en Base64, qui opère directement en mémoire pour minimiser les traces numériques. L’objectif final est d’établir une communication avec un serveur externe pour obtenir un accès à distance persistant et exfiltrer des données.

Cette approche met en évidence l’utilisation croissante des outils open-source légitimes et des plateformes de médias sociaux comme vecteurs d’attaque, contournant les défenses traditionnellement axées sur l’e-mail. La nature des messages directs sur les réseaux sociaux les rend moins surveillés que les e-mails, offrant ainsi aux attaquants une porte d’entrée plus discrète dans les environnements professionnels. Des campagnes similaires exploitant le DLL sideloading ont été observées récemment pour distribuer des familles de malwares comme LOTUSLITE et PDFSIDER.

Points Clés :

• Canal de Distribution : Messages privés sur les réseaux sociaux (LinkedIn).
• Technique Principale : DLL sideloading (exploitation de processus légitimes pour charger du code malveillant).
• Charge Utile Initiale : Archive auto-extractible WinRAR contenant un lecteur PDF légitime et une DLL malveillante.
• Mécanisme d’Exécution : Le lecteur PDF charge la DLL malveillante.
• Élévation et Persistance : L’interpréteur Python open-source est exécuté, établit une clé de registre pour la persistance et exécute un shellcode en mémoire.
• Objectif Final : Accès à distance persistant et exfiltration de données via communication avec un serveur externe.
• Exploitation d’outils légitimes : Utilisation d’un lecteur PDF et d’un interpréteur Python open-source.

Vulnérabilités :

L’article ne mentionne pas de vulnérabilités spécifiques avec des identifiants CVE. La technique exploitée repose sur l’abus de fonctionnalités normales des systèmes d’exploitation et des applications.

Recommandations :

• Surveillance des Réseaux Sociaux : Étendre les pratiques de sécurité et de surveillance au-delà des e-mails pour inclure les communications sur les réseaux sociaux.
• Sensibilisation des Utilisateurs : Éduquer les employés sur les risques liés aux messages privés sur les réseaux sociaux, y compris le téléchargement de fichiers et l’exécution de liens suspects.
• Contrôles de Sécurité : Mettre en place des contrôles de sécurité pour les plateformes de médias sociaux utilisées par l’entreprise, reconnaissant ces plateformes comme une surface d’attaque critique.
• Analyse Comportementale : Utiliser des outils d’analyse comportementale capables de détecter des activités suspectes liées à l’exécution de nouveaux processus ou à des communications réseau inhabituelles.

Source