Non è la prima volta che succede: i malware su LinkedIn sono un problema che, ultimamente, pare ripresentarsi ciclicamente. La piattaforma per la ricerca del lavoro, per recruiter e aziende in cerca di personale, viene ogni tanto presa di mira per diffondere minacce. L’ultimo tentativo in ordine di tempo risale a questi giorni. Secondo nuovi report redatti dagli esperti di cybersicurezza, il responsabile dei malware su LinkedIn sarebbe un sospetto gruppo di hacker nordcoreani.
Questi ultimi starebbero prendendo di mira ricercatori in ambito cybersecurity e diverse aziende legate al mondo dei media, statunitensi ma anche europee, presenti sulla piattaforma di proprietà Microsoft.
Come vengono diffusi i malware su LinkedIn
Come funziona la diffusione di questi malware su LinkedIn? Capire come i malintenzionati agiscano è la prima strategia per evitare di cadere in pericolose trappole. Come spiegato dagli esperti, agiscono fingendo recruiter interessati al curriculum della persona presa di mira. Questa generalmente lavora per aziende che si occupano di media o sicurezza online, come abbiamo visto poco fa. Dopo qualche breve scambio di messaggi per conquistare la fiducia dei professionisti nel loro mirino, chiedono di portare la conversazione su WhatsApp per comodità. Qui l’utente viene convinto a scaricare degli allegati, generalmente un documento Word.
Nonostante il contenuto appaia legittimo, una volta aperto entrano in azione le macro incorporate per iniettare trojan provenienti da siti WordPress ormai compromessi. Questi vengono utilizzati come server di comando e controllo dai malintenzionati. Torniamo all’aspetto legittimo di questi file, dettaglio che facilmente trae in inganno anche i più attenti e sospettosi. Secondo gli esperti di Mandiant, i documenti Word inviati sono creati con stile e cura per adattarsi alla perfezione alla descrizione del lavoro proposto.
Alcuni analizzati dagli esperti di sicurezza, ad esempio, sembravano legittimamente inviati dal New York Times.
I nomi delle minacce
Questi malware inviati su LinkedIn sono “nuovi”, ovvero non sono mai stati visti prima in azione dai ricercatori di cybersecurity. Ecco perché individuare i colpevoli della diffusione non è affatto semplice: si avanzano ipotesi sui gruppi hacker ma mancano le conferme. In ogni caso, i virus diffusi in questo momento si chiamano “Touchmove”, “Sideshow” e “Touchshift”.
Questi si intrufolano nei computer delle vittime fingendosi file di sistema, addirittura riuscendo a mascherarsi come driver legittimi per il funzionamento e l’aggiornamento di processori, schede video e altre periferiche. Aprendo il file Word, dopo che le macro “infette” sono entrate in azione, gli hacker nordcoreani utilizzano un nuovo dropper di malware personalizzato, denominato “TouchShift”, che si camuffa da file mscoree.dll o netplwix.dll. Questo carica sul sistema un’altra utility per fare screenshot chiamata “TouchShot”, un keylogger chiamato “TouchKey”, un tunneller chiamato “HookShot”, un nuovo loader chiamato “TouchMove” e una nuova backdoor chiamata “SideShow”.
Per farla breve, tutti questi lavorano per permettere agli aggressori di eseguire del codice arbitrario sul pc compromesso. Così facendo possono modificare il registro di sistema, manipolare le impostazioni del firewall, aggiungere nuove attività pianificate e far partire nuovi eseguibili. L’obiettivo dei malware su LinkedIn è quello di rubare quanti più dati sensibili dell’utente, soprattutto se lavora per società nel settore della cybersecurity o in ambito media, per trovare modo di compromettere altri sistemi e rubare altri dati. Quindi, richiedere un riscatto.
Come difendersi dai malware su LinkedIn
Come difendersi dai malware su LinkedIn? Per il momento stiamo assistendo ad attacchi mirati verso dipendenti di specifiche aziende, quindi non colpiscono su larga scala. È importante, in ogni caso, sapersi proteggere da queste minacce perché il meccanismo utilizzato è comune a quello di tanti altri cybercriminali sempre in cerca di dati sensibili per i quali chiedere riscatto.
Gli esperti, quindi, consigliano di continuare sempre le conversazioni LinkedIn nell’apposita area per i messaggi e, al massimo, spostarla sotto forma di telefonata, mai su Whatsapp. In secondo luogo, non scaricare mai allegati provenienti di persone che non conosciamo e con cui abbiamo scambiato poche parole appena. Infine, tenere sempre a disposizione un antimalware aggiornato per fare da ulteriore filtro efficace.