Eine neue Social-Media-Phishing-Kampagne nutzt private Nachrichten in sozialen Netzwerken, insbesondere bei LinkedIn, um Schadsoftware zu verbreiten. Die Angreifer kontaktieren gezielt Fach- und Führungskräfte über berufliche Netzwerke, bauen Vertrauen auf und verleiten sie dazu, ein manipuliertes WinRAR-Selbstentpackungsarchiv herunterzuladen. Dieses enthält eine legitime PDF-Reader-Software, eine bösartige DLL, die per DLL-Side-Loading ausgeführt wird, einen portablen Python-Interpreter sowie eine RAR-Datei als Ablenkung.

Beim Start des PDF-Readers wird die schädliche DLL geladen. Diese installiert den Python-Interpreter, richtet einen Autostart-Registry-Eintrag ein und führt Base64-kodierten Shellcode direkt im Speicher aus, um Spuren auf der Festplatte zu vermeiden. Anschließend nimmt die Schadsoftware Kontakt zu einem externen Server auf, ermöglicht dauerhaften Fernzugriff und stiehlt Daten.

Die Kampagne missbraucht bewusst legitime Open-Source-Tools und nutzt Social-Media-Nachrichten als Angriffsvektor, da diese meist weniger überwacht werden als E-Mails. Laut ReliaQuest ist die Kampagne breit angelegt und betrifft verschiedene Branchen und Regionen.

Angriff über Vertrauen statt Exploits

Im Zentrum der Kampagne steht eine Kombination aus Social Engineering, DLL-Sideloading und der missbräuchlichen Nutzung eines legitimen Open-Source-Python-Penetrationstools. Angreifer nutzten die berufliche Glaubwürdigkeit sozialer Netzwerke, um Vertrauen aufzubauen. Ein Ansatz, der technische Hürden senkt und die Erfolgswahrscheinlichkeit deutlich erhöht.

Phishing ist damit längst nicht mehr auf E-Mail beschränkt. Plattformen wie LinkedIn, Messenger-Dienste oder andere soziale Netzwerke werden zunehmend zu blinden Flecken in Unternehmenssicherheitsstrategien, da klassische E-Mail-Gateways dort nicht greifen. Passend dazu empfehlen wir dir diesen Artikel: LinkedIn-Phishing wird zur wachsenden Gefahr für Unternehmen

Technische Umsetzung: DLL-Sideloading und In-Memory-Execution

Der Angriff beginnt mit einer privaten Nachricht, die zu einem Download führt – meist ein WinRAR Self-Extracting Archive, das beim Ausführen mehrere Komponenten entpackt:

• eine legitime PDF-Reader-Anwendung
• eine manipulierte DLL mit identischem Namen zu einer erwarteten Bibliothek
• eine portable Python-Executable
• zusätzliche Dateien als Tarnung

Beim Start des PDF-Readers wird die schädliche DLL aufgrund der Lade-Reihenfolge ausgeführt (DLL-Sideloading). Dadurch läuft der Schadcode im Kontext eines vertrauenswürdigen Prozesses und entzieht sich einfacher Erkennung durch Endpoint-Security-Lösungen.

Anschließend wird ein persistenter Registry-Run-Key gesetzt, der Python-Code enthält. Dieser lädt ein Base64-kodiertes Open-Source-Skript in den Speicher, dekodiert es zur Laufzeit und führt es ohne klassische Dateien auf der Festplatte aus. Das beobachtete Verhalten deutet stark auf die Nachladung eines RATs über Command-and-Control-Infrastruktur hin.

Langfristige Risiken durch RAT-Zugriff

Ein erfolgreich platzierter RAT ermöglicht Angreifern:

• dauerhaften Zugriff auf das System
• Datenexfiltration
• Privilegieneskalation
• laterale Bewegung im Netzwerk

Solche Zugriffe bleiben oft lange unentdeckt und werden häufig als Vorbereitung für weiterführende Angriffe wie Ransomware, Industriespionage oder gezielte Datenabflüsse genutzt.

Warum Social Media ein attraktiver Angriffsvektor ist

Social-Media-Plattformen bieten Angreifern mehrere Vorteile:

• Hohes Grundvertrauen: Kontakte wirken legitim und berufsbezogen
• Keine E-Mail-Security-Kontrollen: Private Nachrichten umgehen Spam- und Phishing-Filter
• Gezielte Auswahl von Opfern: Rollen, Zuständigkeiten und Hierarchien sind öffentlich einsehbar
• Zugriff von Unternehmensgeräten: Social Media wird oft direkt auf Arbeitsrechnern genutzt

Gerade Führungskräfte, IT-Administratoren und Entwickler sind dadurch attraktive Ziele.

Open-Source-Tools als Waffe

Besonders bemerkenswert ist der Einsatz eines unveränderten Open-Source-Penetrationstools. Solche Werkzeuge sind frei verfügbar, gut dokumentiert und genießen bei Security-Teams einen gewissen Vertrauensvorschuss. Für Angreifer bedeutet das:

• geringerer Entwicklungsaufwand
• bessere Tarnung
• erschwerte Attribution

Der Missbrauch legitimer Tools bleibt damit ein zentraler Trend moderner Angriffe.

Schutzmaßnahmen und Handlungsempfehlungen für Unternehmen gegen Social-Media-Phishing-Angriffe

1. Sensibilisierung und Schulung

• Mitarbeitende regelmäßig über Social-Media-Phishing, gefälschte Jobangebote und Direktnachrichten aufklären
• Klare Richtlinien: Keine Dateien oder Links aus ungeprüften LinkedIn-Nachrichten öffnen
• Schulungen speziell für Führungskräfte und „High-Value Targets“

2. Technische Schutzmaßnahmen auf Endgeräten

• Applikationskontrolle (z. B. AppLocker, WDAC), um unbekannte oder nicht genehmigte DLLs und EXE-Dateien zu blockieren
• Einschränkung von DLL-Side-Loading durch Härtung legitimer Anwendungen
• Deaktivierung oder starke Einschränkung von selbstentpackenden Archiven (SFX)

3. Endpoint Detection & Response (EDR/XDR)

• Erkennung von:
  • DLL-Side-Loading
  • verdächtigen Registry-Run-Keys
  • Python-Interpreter-Ausführungen außerhalb genehmigter Umgebungen
• Überwachung von speicherbasierter Codeausführung (In-Memory-Execution)

4. Netzwerk- und Kommunikationskontrollen

• Netzwerküberwachung auf verdächtigen Command-and-Control-Traffic
• DNS-Filtering und Blockierung unbekannter oder neu registrierter Domains
• Einschränkung ausgehender Verbindungen von Benutzerendpunkten

5. Social-Media-Sicherheitsstrategie

• Social-Media-Plattformen als offizielle Angriffsfläche anerkennen
• Nutzung von CASB- oder SSE-Lösungen, um Aktivitäten auf Business-Social-Media-Konten zu überwachen
• Klare Prozesse zur Meldung verdächtiger Nachrichten

6. Least-Privilege-Prinzip

• Benutzer ohne lokale Administratorrechte
• Einschränkung von Schreibrechten in System- und Programmverzeichnissen
• Trennung von Benutzer- und Administrationskonten

7. Incident-Response-Vorbereitung

• Playbooks für Social-Media-Phishing und RAT-Infektionen
• Schnelle Isolierung kompromittierter Systeme
• Regelmäßige Threat-Hunting-Aktivitäten mit Fokus auf Side-Loading-Techniken

8. Zero-Trust-Ansatz

• Keine implizite Vertrauensannahme für Dateien, Anwendungen oder Kommunikationskanäle
• Starke Authentifizierung und kontinuierliche Verifikation von Benutzeraktionen

Effektive Cyberangriffe brauchen heute keine hochentwickelten Zero-Days mehr

Unternehmen müssen ihre Sicherheitsstrategie über E-Mail hinaus erweitern. Ohne Sichtbarkeit, Monitoring und klare Regeln für Social-Media-Kommunikation bleiben diese Plattformen ein attraktiver Einstiegspunkt für gezielte Angriffe. Die Kombination aus menschlichem Vertrauen, legitimen Plattformen und frei verfügbaren Tools reicht aus, um persistente Kompromittierungen zu erreichen. Unternehmen, die ihre Sicherheitsstrategie weiterhin auf E-Mail beschränken, laufen Gefahr, zentrale Angriffsvektoren zu übersehen. Social Media ist längst Teil der Unternehmens-IT und muss auch so abgesichert werden.