Defesa de sistemas – Um arquivo de currículo hospedado em um serviço de nuvem confiável está sendo utilizado como ponto inicial de uma campanha de ciberataque contra empresas.
O alerta foi divulgado pela empresa de segurança de redes Aryaka, que descreveu uma operação composta por várias etapas e que culmina na ativação de um módulo chamado BlackSanta. Esse componente é responsável por desativar sistemas de proteção da vítima antes de iniciar o roubo de dados.
LEIA: Adolescentes criavam e vendiam kits de ataques DDoS para derrubar sites
Segundo o relatório, o setor de recursos humanos se tornou um alvo estratégico para os criminosos digitais.
Profissionais de RH costumam baixar com frequência arquivos enviados por desconhecidos durante processos de recrutamento e seleção. Além disso, trabalham frequentemente sob pressão de tempo para analisar currículos e manter processos seletivos em andamento.
Essas equipes também costumam ter acesso a sistemas internos da empresa e a informações pessoais sensíveis de funcionários e candidatos. Em muitas organizações, porém, o RH não recebe o mesmo nível de proteção de segurança aplicado a áreas como TI ou Financeiro, uma combinação que os atacantes exploram para iniciar a invasão.
Arquivo parece currículo, mas executa ataque
A infecção começa quando a vítima recebe um link que supostamente leva a um currículo armazenado em um serviço de nuvem reconhecido.
Ao baixar o arquivo, o usuário recebe um documento no formato ISO, que reproduz a estrutura de um disco físico e pode ser aberto pelo sistema operacional como se fosse um pendrive conectado ao computador.
Dentro desse disco virtual aparece o que parece ser um documento de currículo. Na realidade, trata-se de um arquivo LNK, um tipo de atalho do Windows que pode ser configurado para executar comandos no sistema. Ao clicar duas vezes no arquivo acreditando tratar-se de um currículo, a vítima inicia a cadeia de ataque sem perceber.
Malware escondido dentro de uma imagem
O atalho ativa comandos por meio do PowerShell, ferramenta legítima de administração do Windows. Como se trata de um recurso nativo do sistema operacional, sua utilização não costuma levantar suspeitas – técnica conhecida como Living-off-the-Land, que consiste em usar recursos do próprio sistema atacado para conduzir a invasão.
Esses comandos extraem o malware de dentro de uma imagem utilizando esteganografia, técnica que permite esconder informações dentro de arquivos aparentemente inofensivos. Para sistemas de segurança que verificam arquivos em busca de vírus, o conteúdo parecia apenas uma fotografia comum.
Depois de extraído, o malware se instala discretamente no computador assumindo a identidade de um programa confiável com certificação digital da Microsoft, o que torna sua detecção ainda mais difícil.
BlackSanta neutraliza as defesas do sistema
O elemento central da operação é o módulo BlackSanta. Antes de executar suas funções, ele verifica se está sendo analisado em um ambiente de testes ou pesquisa. Caso detecte monitoramento, interrompe a execução para evitar a descoberta.
Quando confirma que está em um ambiente real, o malware utiliza uma técnica chamada BYOVD (Bring Your Own Vulnerable Driver). Drivers são softwares que operam no nível mais profundo do sistema operacional e possuem permissões amplas sobre o funcionamento da máquina.
Para funcionar nesse nível no Windows, o driver precisa ter uma assinatura digital válida da Microsoft. O BlackSanta explora drivers que possuem essa assinatura legítima, mas apresentam vulnerabilidades conhecidas. Como o sistema reconhece o certificado como válido, o driver é carregado sem bloqueios.
Com acesso privilegiado, o malware passa a encerrar processos de antivírus, desativar agentes de EDR, ferramentas que monitoram comportamentos suspeitos, suprimir registros de atividade do sistema e remover a visibilidade das plataformas de segurança.
Na prática, as defesas da vítima são neutralizadas utilizando ferramentas que o próprio sistema operacional considera legítimas.
Coleta e envio de informações
Depois que os mecanismos de proteção são desativados, o malware inicia a coleta de dados sensíveis armazenados no computador da vítima.
Entre as informações capturadas estão credenciais de acesso e dados relacionados a carteiras de criptomoedas. Esses dados são enviados de forma criptografada aos operadores do ataque.
Como os sistemas de defesa já foram desligados pelo módulo BlackSanta, a transmissão ocorre com visibilidade praticamente nula para as ferramentas de segurança.
O relatório da Aryaka classifica a campanha como uma cadeia de ataque cuidadosamente planejada e executada por um adversário com alto nível de sofisticação técnica, que explora o setor de recursos humanos como um ponto de entrada ainda pouco protegido em muitas empresas.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/patpongstock)
