Hackers usam mensagens no LinkedIn para espalhar malware RAT por meio de DLL sideloading

Pesquisadores identificaram uma nova campanha de phishing que explora mensagens privadas em redes sociais para distribuir cargas maliciosas, com o objetivo de implantar um RAT (Remote Access Trojan) nos sistemas das vítimas. Diferente de ataques tradicionais por e-mail, a ofensiva utiliza o LinkedIn como vetor inicial, abusando da confiança estabelecida em interações profissionais.

De acordo com um relatório divulgado pela ReliaQuest, a campanha distribui arquivos “armados” por meio da técnica de DLL sideloading, combinada com o uso de um script legítimo e open source de pentest escrito em Python. Esse método permite que o malware seja executado dentro de processos confiáveis, reduzindo significativamente as chances de detecção por soluções de segurança tradicionais.

O ataque começa com o contato direto a profissionais considerados de alto valor, como executivos, gestores e especialistas técnicos. Após estabelecer uma relação de confiança, os invasores convencem a vítima a baixar um arquivo compactado do tipo WinRAR self-extracting archive (SFX). Ao ser executado, o arquivo extrai quatro componentes distintos:

• Um aplicativo legítimo de leitura de PDF (open source)

• Uma DLL maliciosa, carregada de forma lateral pelo leitor de PDF

• Um executável portátil do interpretador Python

• Um arquivo RAR usado como isca para despistar a vítima

A cadeia de infecção é ativada quando o leitor de PDF é iniciado. Nesse momento, a DLL maliciosa é carregada automaticamente pelo aplicativo legítimo, prática conhecida como DLL side-loading, cada vez mais comum entre hackers por explorar a confiança em binários válidos do sistema.

Nos últimos dias, pelo menos três campanhas distintas já utilizaram essa técnica para distribuir famílias de malware como LOTUSLITE e PDFSIDER, além de outros trojans e stealers amplamente conhecidos no submundo cibercriminoso.

Na campanha analisada pela ReliaQuest, a DLL carregada de forma lateral instala o interpretador Python no sistema e cria uma chave Run no Registro do Windows, garantindo persistência ao executar o malware automaticamente a cada login do usuário. O Python, por sua vez, executa um shellcode open source codificado em Base64, carregado diretamente na memória uma técnica projetada para evitar artefatos forenses em disco.

O payload final estabelece comunicação com um servidor externo, concedendo aos hackers acesso remoto persistente à máquina comprometida e permitindo a exfiltração de dados sensíveis. A partir desse ponto, os invasores podem escalar privilégios, mover-se lateralmente pela rede e ampliar o impacto do ataque dentro do ambiente corporativo.

Segundo a ReliaQuest, a campanha parece ampla e oportunista, atingindo múltiplos setores e regiões. No entanto, por ocorrer em mensagens privadas de redes sociais geralmente menos monitoradas do que e-mails corporativos —, é difícil estimar sua real dimensão.

O uso de plataformas sociais como vetor de ataque não é novidade. Nos últimos anos, diversos grupos hackers ligados à Coreia do Norte exploraram o LinkedIn em campanhas como CryptoCore e Contagious Interview, abordando vítimas com falsas ofertas de emprego e testes técnicos maliciosos. Em março de 2025, a Cofense também alertou sobre uma campanha que usava falsas notificações do LinkedIn para induzir vítimas a instalar softwares de acesso remoto.

Para os pesquisadores, o caso reforça um ponto crítico: redes sociais corporativas representam uma lacuna significativa na postura de segurança de muitas organizações. Diferente do e-mail, onde há camadas robustas de monitoramento, mensagens privadas em plataformas sociais seguem praticamente invisíveis para os times de segurança, tornando-se um canal cada vez mais atrativo para ataques de phishing sofisticados.