¡Cuidado!

Los investigadores de seguridad han detectado una campaña de phishing que utiliza correos electrónicos falsificados de notificaciones de LinkedIn para distribuir el malware conocido como ConnectWise Remote Access Trojan (RAT). Este ataque, que se sospecha comenzó en mayo de 2024, imita un mensaje que LinkedIn envía cuando un usuario recibe un InMail. Es importante destacar que LinkedIn solo permite a los usuarios Premium enviar InMails a personas con las que no están conectados, lo que convierte a este tipo de correos en un objetivo atractivo para los cibercriminales.

El informe de los expertos en ciberseguridad de Cofense Intelligence detalla que estos correos contienen varias señales de alarma. En primer lugar, el diseño del correo es obsoleto, ya que LinkedIn lo dejó de usar hace casi cinco años. Asimismo, el remitente, quien supuestamente sería un director de ventas o gerente de proyecto, no corresponde a ninguna persona real, y la imagen adjunta está etiquetada como “executive16.png”. Además, la foto de perfil utilizada en el correo pertenece a Cho So-young, presidente de la Sociedad Coreana de Derecho de Ingeniería Civil.

El nombre de la empresa que supuestamente emplea al remitente, “DONGJIN Weidmüller Korea Ind”, tampoco existe. Cada correo incluye botones que indican “Leer más” y “Responder”, pero ambos están diseñados para iniciar la descarga del ConnectWise, una herramienta de administración remota. Originalmente, ConnectWise ScreenConnect era un software legítimo para soporte y gestión de escritorios remotos, pero los cibercriminales lo han transformado en un RAT para obtener control no autorizado sobre los sistemas.

Un aspecto preocupante es que estos correos electrónicos lograron evadir los filtros de seguridad debido a cómo estaban configurados los ajustes de autenticación en el sistema del destinatario. A pesar de que el correo falló la verificación de SPF (Sender Policy Framework) y no estaba firmado con DKIM (DomainKeys Identified Mail), no fue rechazado del todo por el sistema. Esto se debió a que la política de seguridad del correo electrónico, específicamente DMARC (Domain-based Message Authentication, Reporting, and Conformance), estaba configurada para “oreject”, en lugar de rechazar completamente los correos sospechosos. Esta configuración permitió que el correo se marcara como spam, pero aún así llegó a la bandeja de entrada del destinatario.