Alerta en LinkedIn: una nueva estafa de phishing apunta directamente a ejecutivos

Ejecutivos de empresas y administradores de TI se han convertido en el blanco de una nueva campaña de phishing altamente sofisticada que se desarrolla directamente en LinkedIn, fuera de las tradicionales bandejas de entrada de correo electrónico.

Investigadores de la firma de ciberseguridad ReliaQuest detectaron este ataque, que combina anuncios de trabajo falsos, proyectos comerciales aparentemente legítimos y técnicas avanzadas de infección para comprometer a “objetivos de alto valor” mediante un troyano de acceso remoto (RAT).

A diferencia de las estafas clásicas, esta campaña se apoya en la credibilidad de LinkedIn como red profesional. Según los expertos, los atacantes seleccionan cuidadosamente a sus víctimas, que suelen ocupar cargos ejecutivos o roles clave en tecnología, y las contactan con propuestas atractivas de empleo, colaboración o participación en proyectos de negocio.

El primer acercamiento no despierta sospechas, ya que imita dinámicas habituales de reclutamiento y networking corporativo. El mensaje enviado por LinkedIn incluye un enlace de descarga que aparenta contener documentación relacionada con la oferta, como una hoja de ruta de producto o un plan de proyecto.

Sin embargo, al hacer clic, la víctima descarga un archivo autoextraíble (SFX) de WinRAR, diseñado para parecer legítimo tanto por su nombre como por su contenido inicial.

El proceso de infección comienza cuando el usuario abre el archivo. De forma automática, el paquete se descomprime y extrae varios archivos en la misma carpeta, reforzando la ilusión de que se trata de documentación profesional auténtica. Entre esos archivos se incluye un supuesto lector de PDF, que la víctima abre creyendo que accederá a un documento estándar.

Sin embargo, ese lector es el punto de entrada del ataque. Al ejecutarse, carga una biblioteca dinámica (DLL) maliciosa que venía oculta dentro del paquete. Esta técnica, conocida como descarga de DLL, permite que el código del atacante se ejecute sin generar alertas de seguridad inmediatas, ya que se aprovecha de procesos que el sistema operativo considera confiables.

Una vez activa, la DLL maliciosa establece persistencia en el sistema. Para lograrlo, añade una clave “Run” en el registro de Windows, asegurando que el malware se ejecute cada vez que el equipo se inicie. Luego, pone en marcha un intérprete de Python portátil que también estaba incluido en el archivo descargado, evitando así depender de software instalado previamente en el sistema.

A través de este intérprete, el ataque ejecuta una herramienta de hacking de código abierto que se encuentra codificada en Base64 y que se carga directamente en la memoria del equipo. Esta técnica reduce la huella en el disco y dificulta su detección por soluciones de seguridad tradicionales.

Una vez completada la infección, el malware inicia la comunicación con un servidor de comando y control, un comportamiento típico de los troyanos de acceso remoto que permite a los atacantes controlar el sistema comprometido, robar información o moverse lateralmente dentro de la red corporativa.

ReliaQuest advierte que esta campaña pone en evidencia un problema creciente en las estrategias de ciberseguridad. “Esta campaña sirve como recordatorio de que los correos electrónicos de phishing no se limitan a la bandeja de entrada. Los ataques ocurren en canales alternativos como redes sociales, motores de búsqueda y aplicaciones de mensajería, plataformas que muchas organizaciones aún ignoran en sus planes de seguridad”, señaló la firma.

El riesgo es mayor porque LinkedIn suele utilizarse desde dispositivos corporativos y está asociado a actividades laborales legítimas. “Las plataformas de redes sociales brindan a los atacantes acceso directo a objetivos de alto valor, como ejecutivos y administradores de TI, lo que las hace especialmente atractivas para los ciberdelincuentes”, añadió ReliaQuest.

El hallazgo refuerza la necesidad de ampliar las políticas de seguridad más allá del correo electrónico, incorporar monitoreo y concientización sobre riesgos en redes sociales profesionales y extremar la cautela ante enlaces y archivos compartidos, incluso cuando provienen de contactos que aparentan ser confiables.