Một chiêu trò lừa đảo giả mạo danh tính mới trên LinkedIn đang nhắm vào các giám đốc điều hành trực tuyến - hãy đảm bảo bạn không trở thành nạn nhân của chiêu trò này.

(Nguồn ảnh: Shutterstock / Primakov)

Các giám đốc điều hành doanh nghiệp và quản trị viên CNTT đang trở thành mục tiêu của một cuộc tấn công lừa đảo tinh vi, không diễn ra trong hộp thư email mà là trên LinkedIn.

Các nhà nghiên cứu bảo mật của ReliaQuest cho biết họ đã phát hiện một cuộc tấn công mới kết hợp các dự án kiểm thử xâm nhập Python hợp pháp , tải DLL trái phép và quảng cáo việc làm giả mạo, nhằm lây nhiễm các "mục tiêu có giá trị cao" bằng phần mềm độc hại truy cập từ xa (RAT).

Theo báo cáo của ReliaQuest, các nạn nhân được lựa chọn kỹ lưỡng và liên hệ bằng lời mời tham gia dự án kinh doanh hoặc công việc. Tin nhắn trên LinkedIn đi kèm với một liên kết tải xuống, nếu nhấp vào, sẽ tải xuống một tệp lưu trữ tự giải nén WinRAR (SFX). Tên tệp thường được đặt theo vai trò của nạn nhân, chẳng hạn như lộ trình sản phẩm hoặc kế hoạch dự án.

Triển khai RAT

Khi nạn nhân mở tệp lưu trữ, nó sẽ tự động giải nén một số tệp vào cùng một thư mục, khiến gói phần mềm trông có vẻ hợp pháp. Sau đó, nạn nhân khởi chạy trình đọc PDF có trong tệp lưu trữ, tin rằng họ đang mở một tài liệu bình thường.

Sau đó, trình đọc này sẽ tải một DLL độc hại cũng được bao gồm trong tệp lưu trữ. Phương pháp này, được gọi là tải DLL từ bên ngoài (DLL sideloading), thực thi mã của kẻ tấn công mà không gây ra cảnh báo bảo mật ngay lập tức, theo giải thích.

Tệp DLL độc hại này thêm khóa "Run" vào Registry của Windows để thiết lập quyền truy cập lâu dài, sau đó chạy một trình thông dịch Python di động cũng được bao gồm trong tệp lưu trữ. Công cụ này chạy một công cụ tấn công mã nguồn mở được mã hóa Base64 trực tiếp trong bộ nhớ.

Tiếp đó, phần mềm độc hại bắt đầu liên lạc với máy chủ điều khiển, đây là hành vi tiêu chuẩn đối với các phần mềm độc hại truy cập từ xa.

“Chiến dịch này nhằm nhắc nhở rằng tấn công lừa đảo không chỉ giới hạn ở hộp thư email. Các cuộc tấn công lừa đảo diễn ra trên các kênh khác như mạng xã hội, công cụ tìm kiếm và ứng dụng nhắn tin – những nền tảng mà nhiều tổ chức vẫn bỏ qua trong chiến lược bảo mật của họ,” ReliaQuest cho biết.

“Các nền tảng mạng xã hội, đặc biệt là những nền tảng thường được truy cập trên các thiết bị của công ty, cung cấp cho kẻ tấn công quyền truy cập trực tiếp vào các mục tiêu có giá trị cao như giám đốc điều hành và quản trị viên CNTT, khiến chúng trở nên vô cùng quý giá đối với tội phạm mạng.”