O complexo malware BlackSanta, conhecido por se esconder em imagens e operar diretamente na memória do computador, está evoluindo suas táticas e agora mira os processos de recrutamento de empresas. Arquivos aparentemente inofensivos, distribuídos por serviços de nuvem amplamente utilizados, são a isca para induzir vítimas a instalar este agente malicioso.
A urgência intrínseca ao setor de Recursos Humanos (RH) é explorada pelos cibercriminosos. Enquanto muitos processos de contratação utilizam inteligência artificial para pré-seleção, a fase de análise manual de currículos exige que o RH baixe e abra anexos, frequentemente de fontes desconhecidas, em uma corrida contra o tempo para avaliar múltiplos candidatos. É nesse momento de pressa que os golpistas encontram a brecha para entregar o BlackSanta.
Como o BlackSanta se Infiltra
A empresa de segurança virtual Aryaka detalhou as táticas de infecção do BlackSanta. Ao invés de um currículo convencional, os atacantes enviam um arquivo ISO. Quando a vítima o abre, uma imagem é montada no computador, e um arquivo de atalho (.lnk) é executado. Este atalho, por sua vez, lança um PowerShell oculto que extrai payloads maliciosos de uma imagem esteganográfica, ou seja, uma imagem que esconde instruções. Posteriormente, uma DLL é carregada lateralmente através de um aplicativo legítimo, permitindo que o malware opere sem levantar suspeitas.
Após a instalação, o BlackSanta estabelece uma conexão criptografada via HTTPS com um servidor de comando, reportando as características do sistema da vítima. As instruções criptografadas recebidas são então descriptografadas e executadas diretamente na memória, sem a necessidade de criar arquivos no disco. Essa técnica “fileless” dificulta significativamente a detecção por softwares de segurança tradicionais.
As Táticas Avançadas do Malware
O BlackSanta é projetado para ser altamente evasivo e destrutivo. Ele é capaz de identificar se está sendo executado em um ambiente simulado (sandbox), uma tática comum para malwares avançados. Uma vez que se estabelece, o vírus procede ao roubo de criptomoedas e dados sensíveis do sistema. Contudo, uma de suas características mais perigosas é a função “EDR killer”.
Essa ferramenta carrega drivers de kernel legítimos para ganhar acesso privilegiado ao sistema, permitindo que o BlackSanta desative não apenas antivírus comuns, mas também os sistemas de Detecção e Resposta de Endpoint (EDRs), que são scanners de segurança muito mais potentes. A combinação de ataque ao fluxo de trabalho, execução em múltiplos estágios, uso de técnicas “living-off-the-land” (aproveitando ferramentas legítimas do sistema), esteganografia e execução em memória, demonstra a alta maturidade e disciplina dos hackers por trás do BlackSanta.
O Alerta para as Empresas
Diante da sofisticação do BlackSanta, a Aryaka alerta as empresas sobre a necessidade de reavaliar suas estratégias de segurança. É crucial que os fluxos de trabalho do setor de Recursos Humanos sejam tratados com o mesmo rigor defensivo aplicado a departamentos financeiros e de TI. A negligência pode abrir portas para ataques devastadores como o BlackSanta, resultando no roubo de informações sensíveis e ativos digitais valiosos.
Fonte: canaltech.com.br