Una nuova campagna di phishing su LinkedIn sta dimostrando quanto i messaggi privati sui social possano diventare un canale efficace per la distribuzione di malware. Gli attaccanti contattano profili di valore con un approccio graduale, costruendo fiducia e spingendo la vittima a scaricare un archivio WinRAR autoestraente. Questo tipo di tecnica sfrutta la minore visibilita dei canali social rispetto alle email aziendali, spesso protette da filtri e sistemi di monitoraggio piu maturi.

Il file distribuito e un pacchetto apparentemente legittimo che, una volta avviato, estrae diversi componenti. Tra questi compare un lettore PDF reale, una DLL malevola progettata per essere caricata dal programma, un eseguibile portatile dell interprete Python e un archivio RAR usato come esca. Il punto chiave della catena di infezione e la DLL sideloading, una tecnica di evasione che consente di far eseguire codice dannoso all interno di un processo considerato affidabile, riducendo la probabilita di rilevamento.

Quando l utente apre il lettore PDF, il programma carica anche la DLL malevola. Da qui parte la fase successiva: la DLL rilascia sul sistema l interprete Python e crea una chiave di avvio automatico nel Registro di Windows, cosi da garantire persistenza a ogni login. L interprete viene poi usato per eseguire un payload codificato in Base64 che viene lanciato direttamente in memoria, una scelta che limita le tracce su disco e rende piu complessa l analisi forense.

Lo stadio finale prevede la comunicazione con un server esterno per ottenere accesso remoto persistente, tipico di un RAT, e per avviare l esfiltrazione dei dati. Una volta dentro, gli aggressori possono tentare escalation di privilegi e movimento laterale nella rete, aumentando l impatto dell incidente.

Questa campagna evidenzia anche l abuso di strumenti open source e applicazioni legittime come copertura, e rafforza un messaggio importante per la sicurezza informatica: il phishing non passa solo dalle email. Le aziende dovrebbero considerare LinkedIn e altri social come parte della superficie di attacco, introducendo linee guida, awareness e controlli specifici sui download e sull esecuzione di archivi e software ricevuti via messaggi privati.