BlackSanta: malware usa currículo falso para invadir empresas

Umarquivo de currículo hospedado em serviço de nuvem confiável está sendo usado como ponto de partida de uma campanha de ciberataque.

O alerta foi publicado pela Aryaka, empresa especializada em segurança de redes, e detalha uma operação multietapas que culmina na ativação de um módulo chamado BlackSanta , desenvolvido especificamente paradesligar os sistemas de proteção da vítima antes de roubar seus dados.

Por que o ataque começa no RH

Profissionais de RH têm como parte do trabalho baixar arquivos enviados por desconhecidos, e fazem isso com frequência e sob pressão de tempo.

Essas equipes costumam ter acesso a sistemas internos da empresa e lidam com informações pessoais sensíveis de funcionários e candidatos. Em muitas organizações, no entanto, o RH não recebe o mesmo nível de proteção de segurança que setores como TI ou Financeiro. Essa combinação de acesso privilegiado e menor vigilância é exatamente o que os atacantes exploram.

O currículo que não é um currículo

A infecção começa quando a vítima recebe um link apontando para o que parece ser um currículo em um serviço de nuvem reconhecido. O arquivo baixado é umISO, um tipo de arquivo que imita a estrutura de um disco físico e pode ser montado pelo sistema operacional como se fosse um pendrive inserido no computador.

Ao abrir o conteúdo do disco virtual, a vítima vê o que parece ser um documento de currículo. Na verdade, trata-se de um arquivo LNK, que é um atalho do Windows. Atalhos podem ser configurados para executar qualquer comando no sistema ao serem clicados. Com um duplo clique no que acredita ser um currículo, a vítima ativa a sequência de ataque sem perceber.

Payload escondido numa foto

O atalho dispara comandos usando o PowerShell , uma ferramenta legítima de administração do Windows. Por ser nativa do sistema operacional, seu uso não levanta suspeitas. Essa tática é chamada de Living-off-the-Land , que significa usar os próprios recursos do sistema atacado para conduzir o ataque.

Esses comandos extraem o malware de dentro de uma imagem usando esteganografia , que é a prática deesconder informações dentro de arquivos de aparência inocente. Para sistemas de segurança que escaneiam arquivos em busca de vírus, aquilo parecia apenas uma **foto comum.  **

Uma vez extraído, o malware se instala sorrateiramente sob a identidade de um programa confiável, com certificação digital da Microsoft , tornando sua presença ainda mais difícil de detectar.

BlackSanta, o componente que apaga as defesas

O módulo mais perigoso de toda a operação é o BlackSanta. Antes de agir, ele aindaverifica se está sendo analisado em um ambiente controlado de pesquisa. Se detectar sinais de monitoramento, simplesmente não executa suas funções. Somente quando confirma que o ambiente é real é que o ataque avança.

O BlackSanta utiliza uma técnica chamada BYOVD (Bring Your Own Vulnerable Driver) , que pode ser traduzida como "traga seu próprio driver vulnerável". Um driver é um software que opera no nível mais profundo do sistema operacional e tem permissões quase ilimitadas sobre tudo que acontece na máquina. Para rodar nesse nível no Windows, um driver precisa ter uma assinatura digital válida da Microsoft.

O que o BlackSanta faz écarregar drivers que possuem essa assinatura válida , mas que também têm vulnerabilidades conhecidas. Como o driver está certificado, o Windows o aceita sem questionar.

Uma vez ativo, o BlackSanta explora a falha para encerrar os processos de antivírus , desativar os agentes de EDR (softwares que monitoram comportamentos suspeitos no computador em tempo real), suprimir os registros de atividade do sistema eremover a visibilidade dos consoles de segurança.

As defesas da vítima são neutralizadas por dentro , usando ferramentas que o próprio sistema operacional reconhece como legítimas.

O roubo de dados

Com todas as proteções desativadas, o malware inicia a coleta de informações valiosas do computador da vítima , incluindo credenciais de acesso e dados relacionados a carteiras de criptomoedas. Toda essa informação é enviada de forma discreta e criptografada para os atacantes.

Como os sistemas de proteção já foram desligados pelo BlackSanta, essa transmissão acontece com visibilidade praticamente nula.

O relatório da Aryaka classifica a operação como uma cadeia de ataque planejada , executada por um adversário com alto nível de sofisticação técnica, que encontrou no setor de RH uma porta de entrada que poucas empresas ainda pensam em proteger.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.