O LinkedIn deixou de ser apenas uma rede voltada ao networking profissional e à divulgação de vagas para se tornar, nos últimos anos, um novo vetor de ataques cibernéticos altamente sofisticados.
Nesse sentido, hackers têm explorado a credibilidade da plataforma no intuito de enganar profissionais, ganhar acesso inicial a sistemas corporativos e, a partir disso, comprometer redes inteiras de empresas de diferentes setores.
Dessa forma, o crescimento desse tipo de ameaça acende um alerta importante para organizações e usuários que, muitas vezes, não associam redes sociais profissionais como por exemplo o LinkedIn a riscos de segurança digital.
O uso do LinkedIn por hackers para invadir empresas
Uma nova campanha de phishing vem chamando a atenção de especialistas em segurança cibernética ao utilizar mensagens privadas do LinkedIn como principal meio de disseminação de malware em ambientes corporativos.
De acordo com investigações que a empresa de segurança ReliaQuest conduz, os criminosos estão distribuindo trojans de acesso remoto (RATs) a partir de abordagens aparentemente legítimas feitas dentro da plataforma.
Campanhas recentes e exploração de brechas corporativas
A operação explora uma falha crítica na postura de segurança de muitas empresas: a ausência de monitoramento de mensagens em redes sociais. Enquanto o e-mail corporativo costuma ser protegido por filtros avançados, gateways de segurança e sistemas de detecção de ameaças, as mensagens recebidas via LinkedIn normalmente passam despercebidas pelos times de TI e segurança.
Vale ressaltar que essa não é a primeira vez que criminosos utilizam o LinkedIn de forma maliciosa. Nos últimos anos, grupos de hackers ligados à Coreia do Norte, associados a campanhas conhecidas como por exemplo CryptoCore e Contagious Interview, já usaram a rede profissional para selecionar vítimas e conduzir ataques altamente direcionados.
Um ponto de atenção é que o padrão se repete. Em outras palavras, ocorre um contato inicial amigável, depois uma proposta profissional atrativa e, por fim, o envio de arquivos ou projetos maliciosos.
Profissionais de tecnologia como principais alvos
O modus operandi costuma envolver falsas oportunidades de emprego ou convites para processos seletivos. Sendo assim, os criminosos se passam por recrutadores ou até mesmo representantes de empresas conhecidas e convencem as vítimas a executar um suposto projeto técnico ou revisar um código como parte da avaliação.
Profissionais de tecnologia são alvos especialmente atrativos, pois geralmente possuem acesso privilegiado a sistemas críticos, repositórios de código, ambientes em nuvem e dados sensíveis.
Em março de 2025, a empresa Cofense também identificou uma campanha de phishing temática do LinkedIn que utilizava iscas relacionadas a notificações do InMail. Botões como “Leia mais” ou “Responder” levavam as vítimas a baixar softwares de desktop remoto baseados em ferramentas legítimas, como as desenvolvidas pela ConnectWise, permitindo controle total das máquinas comprometidas.

Como funciona o ataque dos hackers através do LinkedIn?
A equipe de pesquisa da ReliaQuest conseguiu identificar essa campanha ao monitorar atividades suspeitas envolvendo o chamado sideloading de DLL. Essa é uma técnica cada vez mais popular entre atacantes por sua capacidade de driblar mecanismos tradicionais de detecção.
Engenharia social e construção de confiança
O ataque começa com uma abordagem cuidadosamente planejada no LinkedIn. Os criminosos selecionam indivíduos considerados de “alto valor” e iniciam conversas profissionais plausíveis. Em vez de agir de forma agressiva ou imediata, eles investem tempo na construção de confiança, trocando mensagens, elogiando o perfil da vítima e apresentando oportunidades coerentes com sua experiência profissional.
Somente após essa fase de aproximação é que o arquivo malicioso é enviado. Essa estratégia reduz significativamente as chances de desconfiança. Isso ocorre pois a interação ocorre em um ambiente associado à carreira e ao crescimento profissional.
Amplitude e dificuldade de mensuração dos ataques
A campanha que a ReliaQuest identificou parece ser ampla e oportunista, pois atinge múltiplos setores e regiões geográficas. No entanto, como as interações ocorrem em mensagens diretas e as empresas raramente monitoram as redes sociais, é difícil estimar a real dimensão do problema.
Somente em um curto período, pesquisadores documentaram pelo menos três campanhas distintas utilizando sideloading de DLL para distribuir famílias de malware como LOTUSLITE e PDFSIDER, além de outros trojans comuns e ferramentas de roubo de informações. Ou seja, isso indica que o uso do LinkedIn como canal de ataque não é isolado, mas parte de uma tendência crescente.
Mais detalhes do ataque dos hackers através do LinkedIn
O ataque começa, invariavelmente, com uma abordagem direcionada feita dentro do LinkedIn. Os criminosos entram em contato com profissionais que ocupam cargos estratégicos ou têm acesso a sistemas críticos. O contato inicial costuma parecer legítimo, simulando uma vaga de emprego, parceria comercial ou solicitação de consultoria especializada.
Estrutura do arquivo malicioso
Depois de estabelecer confiança, os atacantes convencem a vítima a baixar um arquivo que supostamente contém documentos relevantes para a oportunidade discutida. Esse arquivo é, na verdade, um executável autoextraível (SFX) do WinRAR, cuidadosamente elaborado para parecer inofensivo. Quando executado, o arquivo extrai quatro componentes principais:
- Um leitor de PDF de código aberto totalmente legítimo;
- Uma DLL maliciosa, projetada para ser carregada lateralmente pelo leitor de PDF;
- Um executável portátil do interpretador Python;
- Um arquivo RAR adicional, usado como isca, contendo documentos falsos;
O sideloading de DLL aproveita o comportamento normal de aplicativos legítimos que carregam bibliotecas dinâmicas. Sendo assim, um programa confiável acaba executando código malicioso sem levantar alertas. Em outras palavras, como o processo é iniciado por um software assinado digitalmente, muitos antivírus não identificam a ameaça.
Malware executado diretamente na memória
A DLL maliciosa possui duas funções centrais. Nesse sentido, a primeira é injetar o interpretador Python no sistema da vítima. Já a segunda é criar uma chave de inicialização automática no Registro do Windows, o que garante persistência após cada login.
O interpretador Python, por sua vez, executa um shellcode codificado em Base64 diretamente na memória do sistema. É importante destacar que essa técnica evita a gravação de arquivos maliciosos no disco rígido, o que reduz drasticamente os rastros forenses e dificulta a detecção por scanners tradicionais.
A etapa final do ataque estabelece comunicação com um servidor externo controlado pelos criminosos. A partir daí, eles obtêm acesso remoto persistente ao sistema comprometido, podendo controlar o host, instalar novas ferramentas e exfiltrar dados sensíveis.
Consequências do ataque dos hackers através do LinkedIn
Segundo a ReliaQuest, essa abordagem permite que os invasores contornem mecanismos tradicionais de defesa com relativa facilidade e ampliem suas operações com pouco esforço operacional.
Isso ocorre porque, uma vez dentro do ambiente corporativo, o acesso inicial obtido por meio do LinkedIn pode funcionar como uma porta de entrada silenciosa para comprometer toda a infraestrutura da empresa. Ou seja, um simples clique em um link malicioso ou o download de um anexo aparentemente inofensivo pode ser suficiente para iniciar o comprometimento.
Escalada de privilégios e movimentação lateral
Com o controle inicial, os atacantes costumam mapear a rede interna, identificar sistemas críticos e buscar a elevação de privilégios. Nesse sentido, o objetivo final geralmente é alcançar servidores de banco de dados, controladores de domínio ou sistemas de backup, onde se concentram os dados mais valiosos.
A empresa de segurança alerta que plataformas de mídia social representam uma lacuna significativa na postura de segurança de muitas organizações. Desse modo, diferentemente do e-mail, mensagens privadas em redes sociais não passam por filtros, sandboxing ou análise automática de links e anexos.
Confiança excessiva em redes sociais
Paralelamente, outro fator crítico é o comportamento dos usuários. Em outras palavras, mensagens recebidas em redes sociais tendem a gerar mais confiança, especialmente quando partem de perfis aparentemente legítimos, com conexões em comum, histórico de publicações e recomendações. Tal combinação torna o LinkedIn um canal extremamente eficaz para ataques de engenharia social.
Como as empresas podem se proteger do ataque dos hackers através do LinkedIn?
Diante desse cenário, especialistas recomendam que as organizações passem a tratar as redes sociais como uma superfície de ataque crítica. Para isso, podem adotar uma abordagem de segurança mais ampla e integrada.
Medidas técnicas e conscientização dos funcionários
Entre as principais recomendações estão:
- Treinamento específico para funcionários sobre phishing em redes sociais;
- Políticas claras sobre download e execução de arquivos recebidos via mensagens diretas;
- Implementação de soluções de EDR capazes de detectar sideloading de DLL;
- Monitoramento de comportamentos anômalos em endpoints;
- Restrições à execução de scripts e interpretadores em estações de trabalho.
Juntamente com isso, profissionais devem desconfiar de oportunidades “boas demais para ser verdade”, verificar a autenticidade de recrutadores e empresas antes de baixar qualquer arquivo e nunca executar códigos enviados por desconhecidos.
O uso indevido de ferramentas open source legítimas, aliado ao phishing em plataformas sociais, demonstra que as ameaças modernas vão muito além do e-mail. Sendo assim, ignorar esse cenário pode custar caro às empresas que ainda não adaptaram suas estratégias de segurança ao novo contexto digital.
Resumindo, em um ambiente cada vez mais conectado, compreender como hackers exploram o LinkedIn é fundamental para prevenir ataques, proteger dados sensíveis e garantir a continuidade dos negócios. Logo, fique atento, reforce a segurança da sua empresa e acompanhe nossos conteúdos para se manter informado sobre novas ameaças envolvendo essa rede!
*com uso de Inteligência Artificial

