- Hackers russos atacam departamentos de RH com malware BlackSanta
- A cadeia de infecção usa e-mails de phishing e arquivos ISO maliciosos
- BlackSanta desativa ferramentas EDR para permitir comprometimento mais profundo
Hackers russos atacaram os departamentos de Recursos Humanos (RH) de organizações em todo o mundo com um malware nunca antes visto chamado BlackSanta.
A campanha foi detectada pelos pesquisadores de segurança cibernética Aryaka, que disseram que os ataques já acontecem há pelo menos um ano e incluem uma cadeia bastante sofisticada de infecções.
Provavelmente começa com um e-mail de phishing compartilhando currículos de funcionários em potencial, incluindo um link para uma pasta do Dropbox contendo uma imagem ISO. Esses arquivos são clones de discos ópticos e eram bastante populares no início dos anos 2000, até que unidades pequenas se tornaram mais baratas. Hoje em dia, no entanto, eles podem ser vistos como uma grande bandeira vermelha, já que raramente são usados fora de golpes.
O artigo continua abaixo
O assassino EDR
Porém, para quem não entender o truque, quem baixar e extrair o ISO receberá diversos arquivos, incluindo um arquivo de atalhos e um script do PowerShell. O script baixa um arquivo DLL malicioso e um leitor de PDF legítimo, que é usado para fazer o sideload da DLL.
A DLL então verifica primeiro o sistema para ver se ele está sendo executado em um ambiente sandbox ou em uma máquina virtual. Se a máquina achar que merece mais infecções, ela baixa cargas adicionais, entre as quais está o BlackSanta.
Esse malware é descrito como um “assassino de EDR”, o que significa que ele mata ferramentas de detecção e resposta de endpoint antes de permitir a propagação de cargas adicionais.
Ele também é capaz de fazer coisas diferentes dependendo do tipo de solução EDR encontrada no dispositivo de destino. Por exemplo, ele pode suprimir as notificações do Windows para que continuem em execução mesmo enquanto o sistema operacional tenta notificar o usuário sobre o ataque em andamento.
Aryaka diz que os agressores foram vistos em estado selvagem, mas não disse quantas organizações foram atacadas ou quantas vítimas realmente houve. A identidade dos atacantes também não foi discutida, mas a julgar pelo Ministério da Defesa, não parece ser um dos grupos mais populares apoiados pelo Estado.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
