Осторожно: письма с LinkedIn могут оказаться фальшивкой с вирусами.

06.03.2025
LinkedIn запускает верификацию страниц компаний для усиления их конкурентоспособности LinkedIn запускает верификацию страниц компаний для усиления их конкурентоспособности

Исследования безопасности: фишинговые письма, имитирующие уведомления LinkedIn

  • Фальшивые уведомления LinkedIn: Злоумышленники рассылают письма, которые имитируют уведомления от LinkedIn, чтобы распространить вирус ConnectWise Remote Access Trojan (RAT).

  • Распространение малвари: Эти письма используются для доставки вредоносного ПО под названием ConnectWise RAT.

    Реклама

  • Множественные признаки обмана: Среди признаков — поддельные компании, фальшивые изображения и нелепые детали.

Подробности кампании

Специалисты по кибербезопасности предупреждают о новой фишинговой кампании, в рамках которой атака замаскирована под уведомление от LinkedIn о получении сообщения InMail. LinkedIn позволяет обмениваться сообщениями только между связанными пользователями или через сервис InMail для платных подписчиков.

Получение такого сообщения влечет за собой отправку электронного уведомления от LinkedIn, которое и используется злоумышленниками в своих целях.

Обход фильтров почты

В этих письмах содержится множество подозрительных деталей. Используемый шаблон устарел и не применяется LinkedIn уже много лет. В письме упоминается несуществующий проект-менеджер, чье фото подписано как “executive16.png”. Фотография в письме принадлежит реальному человеку – Чо Со-Йонг, президенту общества гражданской инженерии в Корее.

Кроме того, названная компания “DONGJIN Weidmüller Korea Ind” также является фикцией.

Письмо содержит кнопки «Read More» и «Reply To». Они активируют загрузку ConnectWise, изначально легального инструмента удаленного администрирования, который был захвачен киберпреступниками и используется в качестве трояна для несанкционированного доступа к системам.

Отклонение системами безопасности

Несмотря на то, что письмо нарушило SPF (Sender Policy Framework) и не подписано DKIM (DomainKeys Identified Mail), оно не было автоматически отклонено системой. Это связано с тем, что политика безопасности, конкретно DMARC (Domain-based Message Authentication, Reporting, and Conformance), не была настроена достаточно строго – сообщение было помечено как спам, но все же доставлено в почтовый ящик получателя.

Источник: TechRadar

ПульсХаб
Опубликовано
Добавить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Будьте в курсе самых важных событий

Нажимая кнопку "Подписаться", вы подтверждаете, что ознакомились с нашими условиями и соглашаетесь с ними. Политика конфиденциальности и Условия использования
Реклама

Читать далее