Uma nova campanha de malware direcionada a recursos humanos e recrutamento de pessoal fez com que invasores distribuíssem arquivos maliciosos disfarçados de formulários de emprego.
A operação, descoberta pelo Aryaka Threat Research Lab, usa uma ferramenta especializada conhecida como BlackSanta para desativar sistemas de detecção e resposta de endpoint (EDR) após um dispositivo ser comprometido.
A campanha se espalha principalmente por e-mails de phishing contendo links para arquivos apresentados como currículos. Quando abertos, os arquivos desencadeiam um processo de infecção em vários estágios que implanta silenciosamente malware no sistema da vítima. Os pesquisadores disseram que a cadeia de ataque permite que os atores da ameaça reúnam informações detalhadas do sistema antes de lançar cargas adicionais.
A análise de Aryaka indica que o grupo por trás da operação provavelmente fala russo.
Currículos e documentos legítimos falsificados
Os arquivos maliciosos usados na campanha normalmente imitam documentos legítimos, como currículos. Depois de baixado e executado, o malware inicia uma sequência de ações destinadas a traçar o perfil do sistema e evitar o monitoramento de segurança.
Os principais comportamentos observados no ataque incluem:
-
Reconhecimento do sistema para coletar dados do sistema operacional e do usuário
-
Verifica máquinas virtuais, sandboxes e ferramentas de depuração
-
Filtragem geográfica para evitar execução em regiões restritas
-
Tentativas de desativar antivírus e controles de segurança EDR
-
Baixando cargas maliciosas adicionais após o comprometimento inicial
Essas etapas permitem que os invasores mantenham o acesso e, ao mesmo tempo, reduzam a chance de detecção.
Fluxos de trabalho de recrutamento explorados
Um elemento central da campanha é o próprio módulo BlackSanta. O componente funciona como um eliminador de EDR, tentando neutralizar software de segurança que poderia bloquear atividades maliciosas.
De acordo com o Laboratório de Pesquisa de Ameaças Aryaka relatórioo malware também realiza verificações no idioma do sistema, nos nomes de host e nos processos em execução antes de executar outras ações.
Leia mais sobre detecção de endpoint e segurança de resposta: Escapando da armadilha de detecção: o EDR está proporcionando uma falsa sensação de segurança?
Aryaka alertou que as equipas de recrutamento podem ser particularmente vulneráveis porque as suas tarefas diárias envolvem a abertura de anexos e o download de documentos dos candidatos. Os invasores exploram esse comportamento rotineiro para disfarçar cargas maliciosas como aplicativos legítimos.
“A capacidade da campanha de exfiltrar informações confidenciais, mantendo comunicações criptografadas, ressalta tanto a sua persistência quanto o risco que representa para as organizações visadas”, escreveram os pesquisadores.
“Durante o ano passado, o malware operou praticamente despercebido, demonstrando o nível de planejamento, precisão e capacidade técnica empregada pelo agente da ameaça.”
O monitoramento aprimorado de downloads suspeitos e uma proteção mais forte dos endpoints podem ajudar as organizações a detectar ataques semelhantes mais cedo no processo de invasão.
Deseja saber mais sobre Segurança Clique Aqui!