Processos de recrutamento tornam-se vetor de infecção corporativa
O complexo malware BlackSanta, conhecido por se esconder em imagens e rodar diretamente na memória, está começando a invadir empresas através do processo de recrutamento. Arquivos que parecem inofensivos, entregues em serviços de nuvem comuns, levam a vítima a instalar o agente malicioso.
BlackSanta e suas táticas
A empresa de segurança virtual Aryaka analisou as táticas de infecção do BlackSanta. Ao invés de um currículo, os hackers enviam um arquivo ISO que monta uma imagem no computador da vítima. Ao abri-la, é executado um arquivo de atalho (.lnk), que lança um PowerShell escondido.
Execução na memória e EDR Killer
Este PowerShell extrai mais payloads maliciosos com uma imagem esteganográfica. Uma DLL é carregada lateralmente através de um aplicativo legítimo, rodando o malware sem suspeita alguma. Depois de instalado, o malware se conecta com um servidor de comando com encriptação HTTPS e informa as características do sistema da vítima.
O vírus também possui uma característica perigosa: é o EDR killer, uma ferramenta que carrega drivers de kernel legítimos, usados para ganhar acesso ao sistema. Assim, são desligadas as defesas, mas não só antivírus comuns: os EDRs, scanners mais potentes, também são desabilitados.
Implicações para o RH
Segundo a Aryaka, as empresas precisam tratar os fluxos de trabalho do RH com tanto rigor defensivo quanto setores financeiros e de TI. A junção de ataque ao workflow, execução de múltiplos estágios, técnicas living-off-the-land, esteganografia e uso da memória são bastante avançadas.
Os golpistas se aproveitam da pressa dos recrutadores para entregar o malware, explorando a confiança em arquivos recebidos de candidatos externos.