Sicherheitsforscher von ReliaQuest haben eine Phishing-Kampagne untersucht, bei der Angreifer private Nachrichten in sozialen Netzwerken nutzen, um Schadsoftware zu verbreiten. Anders als klassische E-Mail-Angriffe setzen die Täter dabei auf direkte Ansprache über Business-Plattformen und tarnen ihre Schadprogramme als vermeintlich legitime Dateien. Ziel sind vor allem hochrangige Mitarbeiter und IT-Verantwortliche in Unternehmen.

Download-Link per Direktnachricht

Kern der Kampagne ist eine technisch vergleichsweise einfache, aber effektive Angriffskette. Über private Nachrichten, etwa auf LinkedIn, erhalten die Opfer einen Download-Link zu einem präparierten Archiv. Dieses enthält neben einer legitimen Anwendung auch eine manipulierte DLL-Datei sowie eine portable Python-Umgebung. Durch sogenanntes DLL-Sideloading wird der Schadcode im Kontext eines vertrauenswürdigen Programms ausgeführt und so von vielen Schutzmechanismen nicht sofort erkannt.

Nach der ersten Ausführung sorgt ein Registry-Eintrag für Persistenz im System. Darüber wird ein offenes Python-Penetrationstest-Skript gestartet, das im Arbeitsspeicher weiteren Schadcode nachlädt. Beobachtete Netzwerkverbindungen deuten darauf hin, dass häufig ein Remote-Access-Trojaner zum Einsatz kommt. Damit erhalten Angreifer langfristigen Zugriff, können Daten abziehen, Rechte ausweiten und sich seitlich im Netzwerk bewegen – oft über einen längeren Zeitraum unentdeckt.

Angriffsfläche Social Media

Auffällig ist der konsequente Einsatz legitimer Werkzeuge und frei verfügbarer Open-Source-Software. Genau dieser Ansatz senkt die Einstiegshürde für Angreifer und erschwert gleichzeitig die Zuordnung der Kampagne. Ähnliche Taktiken wurden in der Vergangenheit bereits von Gruppen wie FIN6, Cobalt Group oder der nordkoreanischen APT-Gruppe Lazarus genutzt, um Schadsoftware über soziale Netzwerke zu verteilen.

Aus Sicht der Analysten zeigt der Fall, dass soziale Medien in vielen Unternehmen weiterhin eine sicherheitstechnische Grauzone darstellen. Während E-Mail-Kommunikation meist gut überwacht ist, fehlen vergleichbare Kontrollen für private Nachrichten auf Social-Media-Plattformen. Die Forscher raten daher zu gezielten Awareness-Schulungen, restriktiveren Ausführungsrichtlinien für Tools wie Python und einer grundsätzlichen Neubewertung sozialer Netzwerke als potenzielle Angriffsfläche im Unternehmensumfeld.