Malware BlackSanta agora ataca processos de recrutamento em empresas
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
O complexo malware BlackSanta, que se esconde em imagens, possui várias etapas de funcionamento e roda diretamente na memória do computador está começando a invadir empresas através do processo de recrutamento. Arquivos que parecem inofensivos, entregues em serviços de nuvem comuns, levam a vítima a instalar o agente malicioso.
Muitos processos de contratação usam IA para selecionar candidatos, mas, em algum momento, o RH baixa currículos (muitas vezes de fontes não confiáveis), abre anexos externos e faz tudo isso o mais rápido possível para analisar vários candidatos em sequência. Os golpistas se aproveitam dessa pressa para entregar o malware.
BlackSanta e suas táticas
A empresa de segurança virtual Aryaka analisou as táticas de infecção do BlackSanta e descreveu tudo em seu blog. Ao invés de um currículo, os hackers enviam um arquivo ISO que monta uma imagem no computador da vítima.
Ao abri-la, é executado um arquivo de atalho (.lnk), que lança um PowerShell escondido. Este, por sua vez, extrai mais payloads maliciosos com uma imagem esteganográfica (que esconde instruções). Uma DLL é carregada lateralmente através de um aplicativo legítimo, rodando o malware sem suspeita alguma.
Depois de instalado, o malware se conecta com um servidor de comando com encriptação HTTPS e informa as características do sistema da vítima. Com instruções criptografadas sendo recebidas dessa maneira, o BlackSanta desencripta e executa tudo na memória, sem usar arquivos, o que dificulta a detecção.
Ele também é capaz de saber se está em um ambiente simulado (sandbox) e outras características perigosas para malwares. Em seguida, são roubadas criptomoedas e dados sensíveis do sistema. O vírus também possui uma característica perigosa: é o EDR killer, uma ferramenta que carrega drivers de kernel legítimos, usados para ganhar acesso ao sistema.
Assim, são desligadas as defesas, mas não só antivírus comuns: os EDRs, scanners mais potentes, também são desabilitados. A junção de ataque ao workflow, execução de múltiplos estágios, técnicas living-off-the-land, esteganografia e uso da memória são bastante avançadas, mostrando que os hackers são disciplinados e possuem maturidade no mundo da cibersegurança.
Segundo a Aryaka, as empresas precisam tratar os fluxos de trabalho do RH com tanto rigor defensivo quando setores financeiros e de TI, já que podem ser explorados para ataques como o do BlackSanta, roubando informações sensíveis e até bens digitais.
Fonte: Aryaka