Retour aux articles
Cybersécurité

Hackers Use LinkedIn Messages to Spread RAT Malware Through DLL Sideloading

21/01/2026 2 vues admin

Nouvelle campagne de phishing exploitant les messages privés sur les réseaux sociaux

Des chercheurs en cybersécurité ont révélé une nouvelle campagne de phishing qui utilise les messages privés sur les réseaux sociaux pour diffuser des charges malveillantes, probablement dans le but de déployer un cheval de Troie d’accès à distance (RAT). Selon un rapport de ReliaQuest partagé avec The Hacker News, cette attaque cible des individus à haute valeur via LinkedIn, en établissant une relation de confiance avant de les inciter à télécharger une archive auto-extractible malveillante.

Mécanisme de l’attaque

L’archive, au format WinRAR SFX, contient quatre composants :

  • Une application légitime de lecture de PDF (open-source)
  • Une DLL malveillante chargée par le lecteur PDF (technique de DLL side-loading)
  • Un exécutable portable de l’interpréteur Python
  • Un fichier RAR servant de leurre

L’infection se déclenche lorsque l’utilisateur lance le lecteur PDF, ce qui entraîne le chargement de la DLL malveillante. Cette dernière dépose ensuite l’interpréteur Python sur le système et crée une clé de registre Windows pour assurer son exécution automatique à chaque connexion. L’interpréteur exécute alors un shellcode encodé en Base64, directement en mémoire, afin d’éviter de laisser des traces sur le disque.

Le payload final tente de communiquer avec un serveur externe, offrant aux attaquants un accès persistant à la machine compromise et permettant l’exfiltration de données sensibles.

Une tendance croissante

Cette campagne s’inscrit dans une tendance plus large : l’utilisation du DLL side-loading pour contourner les détections et masquer les activités malveillantes. Au cours de la semaine dernière, au moins trois campagnes similaires ont été documentées, diffusant des malwares comme LOTUSLITE et PDFSIDER, ainsi que d’autres trojans et voleurs d’informations.

ReliaQuest souligne que cette activité semble opportuniste et large, touchant divers secteurs et régions. Cependant, comme elle se déroule via des messages privés, il est difficile d’en mesurer l’ampleur exacte.

LinkedIn, une cible récurrente

Ce n’est pas la première fois que LinkedIn est détourné pour des attaques ciblées. Des groupes nord-coréens, comme ceux liés aux campagnes CryptoCore et Contagious Interview, ont déjà utilisé cette plateforme pour approcher des victimes sous prétexte d’offres d’emploi, les incitant à exécuter des projets malveillants.

En mars 2025, Cofense avait également détaillé une campagne de phishing imitant les notifications LinkedIn InMail, poussant les utilisateurs à télécharger un logiciel de bureau à distance pour prendre le contrôle de leurs machines.

Recommandations pour les organisations

ReliaQuest rappelle que les plateformes sociales, souvent moins surveillées que les emails, représentent un angle mort dans la posture de sécurité des entreprises. Les organisations doivent donc :

  • Étendre leurs défenses au-delà des contrôles centrés sur l’email
  • Sensibiliser les employés aux risques liés aux messages privés sur les réseaux sociaux
  • Mettre en place des outils de monitoring adaptés à ces canaux

« Les réseaux sociaux, couramment utilisés en entreprise, constituent une faille majeure dans la sécurité. Contrairement aux emails, où les outils de surveillance sont souvent déployés, les messages privés sur les réseaux sociaux manquent de visibilité et de contrôles de sécurité, en faisant un vecteur d’attaque attractif. » — ReliaQuest

Source :
#Sécurité