کشف کمپین فیشینگ جدید در LinkedIn برای انتشار تروجان ConnectWise

پژوهشگران امنیت سایبری Cofense اخیراً یک کمپین فریب جدید را شناسایی کرده‌اند که از ایمیل‌های جعلی لینکدین برای توزیع بدافزار ConnectWise استفاده می‌کند.

 روش حمله در این کمپین با حملات فیشینگ رایج مرتبط با لینکدین تفاوت دارد. در حالی که اکثر حملات مشابه معمولاً برای سرقت اطلاعات ورود کاربران یا اجرای حملات جعل ایمیل تجاری (BEC) انجام می‌شوند، این کمپین یک تروجان کنترل از راه دور (RAT) به نام ConnectWise را توزیع می‌کند.

 ایمیل جعلی که برای کاربران لینکدین ارسال می‌شود به گونه‌ای طراحی شده است که مشابه یک اعلان InMail لینکدین به نظر برسد. InMail یک ویژگی لینکدین است که به کاربران اجازه می‌دهد با افرادی خارج از شبکه خود ارتباط برقرار کنند.

 این ایمیل با استفاده از برندینگ لینکدین، به شکل متقاعدکننده‌ای واقعی به نظر می‌رسد. با این حال، بررسی دقیق نشان می‌دهد که ایمیل از یک قالب قدیمی مربوط به قبل از تغییر رابط کاربری و طراحی مجدد برند لینکدین در سال 2020 استفاده می‌کند.

 محتوای ایمیل جعلی شامل یک درخواست فوری از سوی یک مدیر فروش برای دریافت قیمت یک محصول یا خدمات است. این استراتژی به گونه‌ای طراحی شده است که احساس فوریت ایجاد کند و کاربر را وادار به پاسخ سریع نماید. با این حال، هویت فرستنده و نام شرکتی که در ایمیل ذکر شده، ساختگی هستند.

 تصویر پروفایل استفاده شده در ایمیل، متعلق به فردی واقعی به نام «چو سو-یونگ» است که رئیس یک سازمان مهندسی عمران در کره جنوبی است. اما نام شرکت ذکرشده در ایمیل (DONGJIN Weidmüller Korea Ind) ترکیبی از دو شرکت واقعی است، در حالی که چنین شرکتی وجود ندارد.

 کلیک روی دکمه‌های "Read More" یا "Reply To" که در ایمیل تعبیه شده‌اند، منجر به دانلود نصب‌کننده تروجان ConnectWise RAT می‌شود. جالب اینجاست که برخلاف روش‌های رایج حملات فیشینگ، در این ایمیل مستقیماً از کاربر خواسته نمی‌شود که یک فایل را دانلود یا اجرا کند. این روش غیرمستقیم ممکن است برای دور زدن شک کاربران و سیستم‌های امنیتی طراحی شده باشد.

 بررسی هدرهای امنیتی ایمیل نشان می‌دهد که این پیام در آزمون‌های احراز SPF (Sender Policy Framework)  و DKIM (DomainKeys Identified Mail ) رد شده است. این بدان معناست که ایمیل از سرور رسمی لینکدین ارسال نشده و دارای امضای دیجیتالی معتبر نیست.

 با وجود این نشانه‌های هشداردهنده، ایمیل توانسته است مکانیزم‌های امنیتی را دور بزند. احتمالاً دلیل این امر پیکربندی سیاست احراز هویت DMARC بوده که ایمیل را به‌عنوان اسپم علامت‌گذاری کرده، اما مستقیماً آن را رد نکرده است.

 به گفته‌ی محققان Cofense، این کمپین حداقل از می 2024 فعال بوده و قالب ایمیل همچنان بدون تغییر باقی مانده است. با این حال، هنوز مشخص نیست که آیا نسخه‌های اولیه این حمله نیز برای انتشار تروجان ConnectWise RAT استفاده شده‌اند یا خیر.

این حمله نشان‌دهنده تکامل مداوم تاکتیک‌های مجرمان سایبری و تهدیدات مداوم فیشینگ پیچیده مرتبط با لینکدین است. محافظت در برابر چنین حملاتی نیازمند آموزش کارکنان برای بررسی دقیق فرستنده ایمیل‌هاست، به‌ویژه ایمیل‌هایی که درخواست اقدامات فوری دارند. همچنین پیکربندی صحیح پروتکل‌های احراز هویت ایمیل (SPF، DKIM و DMARC) و اطمینان از تنظیم مناسب  SEGبرای مسدود کردن ایمیل‌های مشکوک، از جمله اقدامات ضروری است.