Il mezzo giustifica il fine. Una rivisitazione di un concetto attribuito (forse in modo arbitrario) a Niccolò Machiavelli nella quale il mezzo è LinkedIn e il fine è criminoso.
I messaggi privati diventano vettori di attacco per la distribuzione di un Remote access trojan (RAT), un malware che permette a un attaccante di controllare da remoto un computer.
I ricercatori dell’azienda di cybersecurity ReliaQuest hanno identificato una sofisticata campagna di phishing che sfrutta la fiducia degli utenti nei confronti delle piattaforme social, in questo caso soprattutto LinkedIn.
Pierluigi Paganini, Ceo di Cybhorus e Direttore dell’Osservatorio sulla cybersecurity Unipegaso, offre un approfondimento su questa campagna, consigliando quale comportamento adottare per tenersi lontani da questo tipo di minacce che, peraltro, invadono ciclicamente tutte le piattaforme.
Indice degli argomenti
Le caratteristiche della distribuzione del malware via LinkedIn
L’attacco si distingue per l’uso combinato di DLL sideloading e l’impiego di script di pentesting Python Open source, segnando un’evoluzione che mira a massimizzare l’elusione delle difese tradizionali.
Con il termine DLL sideloading si intende una tecnica con cui un programma legittimo viene indotto a caricare una libreria malevola al posto di quella ufficiale, facendo in modo che un malware appaia un software fidato e affidabile.
A differenza del phishing via email, ampiamente monitorato da gateway di sicurezza, i messaggi privati sui social media rappresentano una zona grigia per molte organizzazioni.
Gli attori della minaccia approcciano profili apicali stabilendo un rapporto di fiducia prima di inviare un link per il download di un file malevolo compresso, di norma un WinRAR auto-estraente.
I nomi dei file sono eloquenti e parlanti, riflettono il ruolo della vittima o l’azienda per la quale lavora e ciò dà a tali file una connotazione di logica innocuità.
Il processo di infezione
Una volta che l’utente esegue il file compresso, vengono estratti quattro componenti critici:
- Un’applicazione (tipicamente) PDF reader legittima e Open source
- Una DLL malevola camuffata con lo stesso nome di una libreria lecita utilizzata dal lettore PDF
- Un interprete Python
- Uno script
Questa tecnica permette agli attaccanti di mascherare l’attività malevola, rendendo estremamente difficile la rilevazione da parte degli strumenti di endpoint security basati su firme o processi.
Dopo l’attivazione, la DLL malevola si presta alla persistenza e all’elusione dei sistemi di rilevamento.
Il payload finale tenta di stabilire una connessione con un server Command and Control, garantendo agli attaccanti un accesso remoto persistente per l’esfiltrazione di dati, l’escalation dei privilegi e il movimento laterale all’interno della rete aziendale.
Il ruolo strategico dei tool scelti dagli attaccanti
L’uso di script Python e strumenti come WinRAR riducono drasticamente le barriere tecniche per gli attaccanti. Questi strumenti non solo sono affidabili, ma essendo ampiamente utilizzati per scopi legittimi, spesso passano inosservati durante le scansioni automatizzate.
Strategie di difesa e mitigazione
Per contrastare queste minacce, le organizzazioni devono estendere la propria postura di sicurezza oltre i confini delle email. Le raccomandazioni principali includono:
- Audit degli accessi: monitorare l’accesso ai social media dai dispositivi aziendali e limitare il download di file da queste piattaforme
- Controllo delle applicazioni: implementare policy che blocchino l’esecuzione di interpreti Python non autorizzati o portatili, monitorando al contempo attività anomale che coinvolgono script codificati in Base64
- Formazione: istruire i dipendenti a trattare i download dai social media con lo stesso scetticismo riservato alle email
- Visibilità del traffico: utilizzare strumenti di monitoraggio che analizzino i dati in movimento e i processi in esecuzione per identificare tentativi di escalation di privilegi.
Ancora una volta, ad aprire la strada a una minaccia contribuisce l’ingegneria sociale.
A cosa fare attenzione (e come porre rimedio)
Abbiamo chiesto all’ingegner Pierluigi Paganini a cosa fare attenzione per non cadere nel tranello e cosa fare se ci si è inavvertitamente inciampati.
“Per evitare la trappola bisogna considerare i messaggi privati sui social, anche su LinkedIn, affidabili quanto una mail sconosciuta. Occorre diffidare di contatti che inviano file urgenti, eseguibili, archivi WinRAR o SFX, soprattutto da profili recenti o poco attivi.
È importante non eseguire pacchetti che installano più componenti insieme, tipici del DLL sideloading. I download dai social vanno trattati come phishing: verificare il mittente, coinvolgere gli esperti del comparto IT/SOC quando si è in azienda, limitare l’uso di interpreti come Python e bloccare esecuzioni da cartelle temporanee.
La formazione sul social engineering resta un elemento fondamentale per una corretta postura di difesa”, illustra l’esperto, che spiega anche cosa fare nel caso in cui il peggio si fosse già verificato:
“Se il sistema è compromesso dopo l’esecuzione di un archivio SFX o di un PDF con DLL malevola, bisogna presumere la presenza di un malware.
Il primo passo è isolare subito il dispositivo dalla rete (Wi‑Fi/VPN disconnessi, segmentazione o quarantena) per bloccare comandi e movimenti laterali, quindi avvisare immediatamente il team di esperti del SOC o il gruppo di sicurezza interno all’azienda. Fornire tutti i dettagli utili (screenshot, URL, hash, percorso e ora dei file) per l’analisi forense. Parallelamente, avviare campagne di awareness sugli utenti che accedono ai social da device aziendali, aggiornare regole di rilevazione di Python e script Base64 in memoria e introdurre controlli che blocchino l’esecuzione diretta di archivi SFX o contenuti scaricati dai social senza verifica IT preventiva”, conclude l’ingegner Paganini.
