Allarme LinkedIn: nuovi malware nascosti nei messaggi privati

È stata individuata una campagna di phishing che utilizza la messaggistica privata di LinkedIn come canale di diffusione di malware. Gli attaccanti hanno cercato di ottenere un accesso iniziale prendendo di mira profili considerati di “alto valore” all’interno di specifiche organizzazioni. Il contatto avveniva tramite conversazioni dirette, costruite progressivamente per instaurare un rapporto di fiducia, con l’obiettivo finale di indurre le vittime a scaricare file apparentemente legittimi. Secondo gli esperti di sicurezza, questo episodio evidenzia una nuova superficie di attacco rappresentata dai messaggi diretti sui social media, in grado di aggirare molte delle difese tradizionalmente concentrate sulla posta elettronica.

Il meccanismo centrale dell’attacco si basa sulla tecnica del DLL sideloading. Una volta scaricato ed eseguito un archivio autoestraente WinRAR (SFX), sul sistema della vittima vengono decompressi sia un programma legittimo sia un componente malevolo. Quando l’utente avvia l’applicazione lecita per la visualizzazione di PDF, questa carica automaticamente una DLL presente nella stessa directory, scambiando quella dannosa per una libreria autentica. In questo modo viene avviata l’infezione. Poiché il codice malevolo non viene eseguito come processo autonomo, ma si innesta in un’attività apparentemente normale, l’individuazione e l’analisi risultano più complesse.

L’analisi del file SFX ha evidenziato la presenza di quattro elementi principali: un lettore PDF open source legittimo; una DLL malevola progettata per essere caricata dall’applicazione; un interprete Python in formato eseguibile portatile; e un file RAR utilizzato come esca per distrarre l’utente. All’avvio del lettore PDF, la DLL dannosa viene eseguita e provvede a installare l’interprete Python sul sistema, oltre a creare una chiave “Run” nel registro di Windows per garantire la persistenza del malware, che viene così avviato automaticamente a ogni accesso dell’utente.

Successive indagini hanno mostrato che l’interprete Python esegue shellcode open source codificato in Base64 direttamente in memoria. Questa scelta consente di ridurre al minimo le tracce lasciate sul disco, poiché il codice eseguibile non viene salvato come file. Il payload finale stabilisce una comunicazione con un server remoto, apre un canale di controllo e tenta di esfiltrare informazioni di interesse per l’attaccante. Una singola esecuzione è quindi sufficiente a creare una base di accesso remoto, che può essere sfruttata per attività successive come movimenti laterali, escalation dei privilegi e furto di dati.

Il DLL sideloading è una tecnica ricorrente nelle più recenti campagne di distribuzione di malware. Quando un eseguibile legittimo carica librerie senza specificare un percorso esplicito o sfrutta l’ordine di ricerca predefinito, un aggressore può inserire una DLL malevola nella stessa posizione e utilizzare il processo legittimo come veicolo di esecuzione. Secondo gli analisti, molti prodotti di sicurezza faticano a distinguere queste attività da un normale utilizzo del software, offrendo così agli attaccanti un vantaggio significativo nelle fasi iniziali dell’intrusione.

A rendere particolarmente rilevante questo episodio è il canale di distribuzione: un messaggio diretto sui social media, anziché un’email. Negli anni, le organizzazioni hanno adottato difese stratificate per la posta elettronica, come gateway di sicurezza, filtri URL, sandbox e programmi di formazione anti-phishing. Al contrario, le comunicazioni private su piattaforme professionali come LinkedIn presentano livelli di controllo e visibilità dei log più limitati. Inoltre, le conversazioni che coinvolgono account personali dei dipendenti spesso sfuggono ai sistemi di monitoraggio aziendali, creando una zona d’ombra che gli aggressori possono sfruttare.

LinkedIn è già stato utilizzato in passato come vettore per attacchi mirati. Pretesti legati al reclutamento, alla revisione del codice o all’assegnazione di incarichi sono tattiche note, in particolare tra gruppi di minaccia associati alla Corea del Nord. Anche in questo caso, la campagna sembra essere stata diffusa in modo opportunistico, coinvolgendo diversi settori e aree geografiche, piuttosto che concentrarsi su un obiettivo altamente specifico. Tuttavia, l’utilizzo dei messaggi diretti rende difficile stimare con precisione l’impatto complessivo dell’attività.

Gli esperti sottolineano che i messaggi privati sui social media dovrebbero essere considerati a tutti gli effetti un vettore primario di intrusione, al pari della posta elettronica. Trattare file e link ricevuti tramite LinkedIn come contenuti “non lavorativi” rischia di creare ulteriori punti ciechi nelle organizzazioni che investono esclusivamente nel rafforzamento della sicurezza email.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.