O que é o Malware BlackSanta?
O malware BlackSanta é uma ameaça cibernética sofisticada que tem chamado a atenção de especialistas em segurança. Este vírus complexo se esconde em imagens e opera em várias etapas, executando-se diretamente na memória do computador. Recentemente, ele começou a invadir empresas através do processo de recrutamento, aproveitando-se da pressa e da confiança que envolvem as etapas de contratação.
Como o BlackSanta Infiltra-se nas Empresas?
Os criminosos cibernéticos enviam arquivos que parecem inofensivos, como imagens ISO, através de serviços de nuvem comuns. Quando o RH ou responsáveis pelo recrutamento baixam esses arquivos, acabam instalando o agente malicioso sem perceber. Esse método é especialmente eficaz porque muitos processos de contratação usam IA para selecionar candidatos, mas, em algum momento, o RH baixa currículos (muitas vezes de fontes não confiáveis), abre anexos externos e faz tudo isso o mais rápido possível para analisar vários candidatos em sequência. Os golpistas se aproveitam dessa pressa para entregar o malware.
As Táticas do BlackSanta
A empresa de segurança virtual Aryaka analisou as táticas de infecção do BlackSanta e descreveu tudo em seu blog. Ao invés de um currículo, os hackers enviam um arquivo ISO que monta uma imagem no computador da vítima. Ao abri-la, é executado um arquivo de atalho (.lnk), que lança um PowerShell escondido. Este, por sua vez, extrai mais payloads maliciosos com uma imagem esteganográfica (que esconde instruções). Uma DLL é carregada lateralmente através de um aplicativo legítimo, rodando o malware sem suspeita alguma.
Como o BlackSanta Opera Após a Instalação
Depois de instalado, o malware se conecta com um servidor de comando com encriptação HTTPS e informa as características do sistema da vítima. Com instruções criptografadas sendo recebidas dessa maneira, o BlackSanta desencripta e executa tudo na memória, sem usar arquivos, o que dificulta a detecção. Ele também é capaz de saber se está em um ambiente simulado (sandbox) e outras características perigosas para malwares. Em seguida, são roubadas criptomoedas e dados sensíveis do sistema.
Características Avançadas do BlackSanta
O vírus também possui uma característica perigosa: é o EDR killer, uma ferramenta que carrega drivers de kernel legítimos, usados para ganhar acesso ao sistema. Assim, são desligadas as defesas, mas não só antivírus comuns: os EDRs, scanners mais potentes, também são desabilitados. A junção de ataque ao workflow, execução de múltiplos estágios, técnicas living-off-the-land, esteganografia e uso da memória são bastante avançadas, mostrando que os hackers são disciplinados e possuem maturidade no mundo da cibersegurança.
Como se Proteger do BlackSanta
Segundo a Aryaka, as empresas precisam tratar os fluxos de trabalho do RH com tanto rigor defensivo quanto setores financeiros e de TI, já que podem ser explorados para ataques como o do BlackSanta, roubando informações sensíveis e até bens digitais. É fundamental implementar políticas de segurança robustas, treinar equipes para reconhecer ameaças e utilizar soluções de segurança atualizadas para proteger contra esse tipo de malware avançado.