Sicherheitsforscher warnen vor gezielten Angriffen über LinkedIn

Von Dr. Martin J. Krämer, CISO Advisor bei KnowBe4

Sicherheitsforscher von ReliaQuest haben kürzlich eine neue Angriffskampagne aufgedeckt, die gezielt hochrangige Führungskräfte und IT-Fachkräfte ins Visier nimmt. Der Einstiegspunkt ist dabei ebenso unscheinbar wie wirkungsvoll: eine personalisierte Nachricht über LinkedIn.

Die Angreifer geben sich als seriöse Geschäftskontakte aus und verleiten ihre Opfer dazu, auf einen Link zu klicken. Dieser führt zum Download einer Archivdatei. Wird diese entpackt und geöffnet, beginnt im Hintergrund ein hochentwickelter Angriff: Mithilfe der sogenannten DLL-Sideloading-Technik werden unbemerkt Schadprogramme im Unternehmensnetzwerk platziert. Das mutmaßliche Ziel der Kampagne ist die Installation eines Remote-Access-Trojaners (RAT), der den Angreifern weitreichenden Zugriff auf das kompromittierte System ermöglicht – inklusive Rechteausweitung, lateraler Bewegung im Netzwerk und dem Abfluss sensibler Daten.

Der Angriff folgt dabei einem klaren Muster. Am Anfang steht immer der Kontakt über den LinkedIn-Chat. Die Nachricht enthält einen Download-Link zu einem selbstentpackenden WinRAR-Archiv (SFX). Die darin enthaltenen Dateien sind auffällig gut auf Rolle und Branche des jeweiligen Opfers zugeschnitten und tragen Namen wie „Upcoming_Products.pdf“ oder „Project_Execution_Plan.exe“. Nach dem Entpacken findet sich im Ordner eine scheinbar harmlose Sammlung von Dateien: ein legitimer Open-Source-PDF-Reader, eine manipulierte DLL-Datei, die denselben Namen wie eine unverdächtige Bibliothek trägt, eine portable ausführbare Version des Python-Interpreters sowie eine zusätzliche RAR-Datei, die dem Gesamtpaket einen legitimen Anschein verleihen soll. Öffnet das Opfer den PDF-Reader, greift die bösartige DLL. Da sie im Kontext eines vertrauenswürdigen Programms ausgeführt wird, bleibt sie für viele Endpoint-Sicherheitslösungen unsichtbar. Anschließend kommt der Python-Interpreter zum Einsatz, der ein in Base64 codiertes Open-Source-Shellcode-Runner-Skript ausführt. Dieses wird direkt im Arbeitsspeicher entschlüsselt und gestartet – ein Vorgehen, das klassische Antivirenlösungen gezielt umgeht.

Die Analyse der Forscher zeigt zudem typische Command-and-Control-Aktivitäten: Das kompromittierte System versucht, Kontakt zu externen Servern aufzunehmen – ein Verhalten, das stark auf den Einsatz eines RATs hindeutet. Gelingt dies, können Angreifer dauerhaft Zugriff auf das System behalten. Der Vorfall unterstreicht ein Problem, das Sicherheitsexperten seit Langem kennen: Während E-Mail-Kommunikation in vielen Unternehmen vergleichsweise gut abgesichert ist, gelten Social-Media-Plattformen wie LinkedIn noch immer als blinder Fleck. Häufig fehlt es sowohl an technischen Schutzmaßnahmen als auch an ausreichendem Bewusstsein in der Belegschaft für die damit verbundenen Risiken.

Unternehmen sind daher gut beraten, ihre Mitarbeitenden gezielt für Bedrohungen über soziale Netzwerke zu sensibilisieren. Gerade bei unerwarteten Nachrichten und bei Links oder Dateianhängen sollte grundsätzlich Skepsis herrschen – unabhängig davon, wie vertrauenswürdig der Absender auf den ersten Blick erscheint. Regelmäßige Sicherheitsschulungen, die Social Media ausdrücklich einbeziehen, sind hierfür unerlässlich.

Besonders wirksam ist in diesem Zusammenhang der Einsatz moderner Human Risk Management-Systeme . Sie ermöglichen personalisierte, KI-gestützte Phishing-Trainings, Schulungen und Simulationen, die kontinuierlich und automatisiert durchgeführt werden können. Ergänzt durch moderne Anti-Phishing-Technologien, die künstliche Intelligenz mit Crowdsourcing kombinieren, lassen sich selbst neue Zero-Day-Bedrohungen frühzeitig erkennen und abwehren. So können Unternehmen das menschliche Risiko deutlich reduzieren – und Mitarbeitende ebenso wie KI-Agenten zur stärksten Verteidigungslinie im Kampf gegen Cyberbedrohungen machen.