{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreia6rsz77xt2wzgsohjvirvod7xzilsdbvrevgtgbcsvfttgbmsmxa",
"uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mgtafhpufuc2"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreicyzjbe4mjl5ga3l7luxyudyd6ewvgngmqgrhd4x7kp5i5t5nhyt4"
},
"mimeType": "image/png",
"size": 767693
},
"path": "/seguranca/411523-blacksanta-malware-usa-curriculo-falso-para-invadir-empresas.htm",
"publishedAt": "2026-03-12T01:00:00.000Z",
"site": "https://www.tecmundo.com.br",
"tags": [
"Segurança"
],
"textContent": "Um**arquivo de currículo** hospedado em serviço de nuvem confiável está sendo usado como **ponto de partida de uma campanha de ciberataque**.\n\nO alerta foi publicado pela Aryaka, empresa especializada em segurança de redes, e detalha uma **operação multietapas que culmina na ativação de um módulo chamado BlackSanta** , desenvolvido especificamente para**desligar os sistemas de proteção da vítima** antes de **roubar seus dados.**\n\n## Por que o ataque começa no RH\n\nProfissionais de RH têm como parte do trabalho baixar arquivos enviados por desconhecidos, e fazem isso com frequência e sob pressão de tempo.\n\nEssas equipes costumam ter acesso a sistemas internos da empresa e lidam com informações pessoais sensíveis de funcionários e candidatos. Em muitas organizações, no entanto, o RH **não recebe o mesmo nível de proteção de segurança que setores como TI ou Financeiro**. Essa combinação de **acesso privilegiado e menor vigilância** é exatamente o que os atacantes exploram.\n\n## O currículo que não é um currículo\n\nA infecção começa quando a **vítima recebe um link** apontando para o que parece ser um currículo em um serviço de nuvem reconhecido. O arquivo baixado é um**ISO, um tipo de arquivo que imita a estrutura de um disco físico** e pode ser montado pelo sistema operacional como se fosse um pendrive inserido no computador.\n\nAo abrir o conteúdo do disco virtual, a vítima vê o que parece ser um **documento de currículo.** Na verdade, trata-se de um arquivo LNK, que é um atalho do Windows. Atalhos podem ser configurados para executar qualquer comando no sistema ao serem clicados. Com um duplo clique no que acredita ser um currículo, a **vítima ativa a sequência de ataque sem perceber.**\n\n## Payload escondido numa foto\n\nO **atalho dispara comandos usando o PowerShell** , uma ferramenta legítima de administração do Windows. Por ser nativa do sistema operacional, seu uso não levanta suspeitas. Essa tática é chamada de **Living-off-the-Land** , que significa usar os próprios recursos do sistema atacado para conduzir o ataque.\n\nEsses comandos extraem o malware de dentro de uma imagem usando **esteganografia** , que é a prática de**esconder informações dentro de arquivos** de aparência inocente. Para sistemas de segurança que escaneiam arquivos em busca de vírus, aquilo parecia apenas uma **foto comum. **\n\nUma vez extraído, o malware se instala sorrateiramente sob a identidade de um programa confiável, **com certificação digital da Microsoft** , tornando sua presença ainda mais difícil de detectar.\n\n## BlackSanta, o componente que apaga as defesas\n\nO módulo mais perigoso de toda a operação é o **BlackSanta**. Antes de agir, ele ainda**verifica se está sendo analisado em um ambiente controlado de pesquisa**. Se detectar sinais de monitoramento, simplesmente não executa suas funções. Somente quando confirma que o ambiente é real é que o ataque avança.\n\nO BlackSanta utiliza uma técnica chamada **BYOVD (Bring Your Own Vulnerable Driver)** , que pode ser traduzida como \"traga seu próprio driver vulnerável\". Um driver é um software que opera no nível mais profundo do sistema operacional e tem permissões quase ilimitadas sobre tudo que acontece na máquina. Para rodar nesse nível no Windows, um driver precisa ter uma assinatura digital válida da Microsoft.\n\nO que o BlackSanta faz é**carregar drivers que possuem essa assinatura válida** , mas que **também têm vulnerabilidades conhecidas**. Como o driver está certificado, o Windows o aceita sem questionar.\n\nUma vez ativo, o BlackSanta **explora a falha para encerrar os processos de antivírus** , desativar os agentes de EDR (softwares que monitoram comportamentos suspeitos no computador em tempo real), suprimir os registros de atividade do sistema e**remover a visibilidade dos consoles de segurança.**\n\nAs defesas da vítima são **neutralizadas por dentro** , usando ferramentas que o próprio sistema operacional reconhece como legítimas.\n\n## O roubo de dados\n\nCom todas as proteções desativadas, o malware inicia a **coleta de informações valiosas do computador da vítima** , incluindo credenciais de acesso e dados relacionados a carteiras de criptomoedas. Toda essa informação é **enviada de forma discreta e criptografada para os atacantes.**\n\nComo os sistemas de proteção já foram desligados pelo BlackSanta, essa transmissão acontece com **visibilidade praticamente nula.**\n\nO relatório da Aryaka classifica a operação como uma **cadeia de ataque planejada** , executada por um adversário com alto nível de sofisticação técnica, que encontrou no setor de RH uma **porta de entrada que poucas empresas ainda pensam em proteger**.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
"title": "BlackSanta: malware usa currículo falso para invadir empresas"
}