Осторожно: письмо от LinkedIn может быть поддельным и содержать вредоносное ПО

Исследователи безопасности обнаружили фишинговые электронные письма, подделывающие уведомления LinkedIn. Эти письма распространяют троян ConnectWise Remote Access (RAT). В этих сообщениях есть множество красных флажков, включая вымышленные компании, ложные изображения и другие признаки.

Эксперты предупреждают, что киберпреступники подделывают уведомления LinkedIn для доставки трояна ConnectWise Remote Access (RAT). Новый отчет исследователей безопасности Cofense Intelligence указывает на то, что фишинговая кампания, вероятно, началась в мае 2024 года с электронного письма, имитирующего уведомление LinkedIn о получении сообщения InMail.

На деловой платформе LinkedIn люди, не находящиеся в связях, не могут обмениваться сообщениями друг с другом, за исключением случаев, когда отправитель является Premium (платным) пользователем. В таком случае они могут использовать услугу под названием InMail для контакта с людьми, с которыми они не связаны.

Получение такого сообщения обычно приводит к электронному уведомлению от LinkedIn — именно это уведомление подделывают атакующие.

Обход фильтров электронной почты

В электронном письме есть несколько красных флажков. Во-первых, использованный шаблон был выведен из обращения почти пять лет назад. Затем, предполагаемый менеджер проекта или директор по продажам, якобы отправляющий сообщение, не существует. Прикрепленное изображение помечено как “executive16.png”. Профильная фотография, используемая в письме, принадлежит президенту Корейского общества гражданского права, человеку по имени Чо Со-ён (Cho So-young). Наконец, компания, за которую якобы работает отправитель, называется “DONGJIN Weidmüller Korea Ind”, и она тоже не существует.

Электронное письмо сопровождается одной из двух кнопок: "Читать дальше" или "Ответить". Обе эти кнопки приводят к загрузке ConnectWise, удаленного административного инструмента, который был первоначально частью ConnectWise ScreenConnect — легитимного программного обеспечения для удаленного рабочего стола, используемого в службах поддержки и управления IT. Однако киберпреступники взломали этот инструмент и используют его как троян для получения несанкционированного доступа к системам.

Электронное письмо проникло через фильтры безопасности, главным образом из-за того, как были настроены параметры аутентификации электронной почты на системе получателя. Несмотря на то что сообщение не прошло проверку SPF (Sender Policy Framework) и не было подписано с помощью DKIM (DomainKeys Identified Mail), система все равно не отклонила его полностью.

Это произошло потому, что политика безопасности электронной почты была установлена в режиме "oreject" вместо полного отклонения подозрительных писем. Этот настройка вероятно позволила отметить сообщение как спам, но все же отправить его в ящик получателя.

Исследователи безопасности обнаружили, что киберпреступники используют умные ссылки LinkedIn для целевых атак по фишингу. Мы собрали лучших менеджеров паролей и составили руководство по лучшим приложениям-аутентификаторам.