Um arquivo de currículo armazenado em um serviço de nuvem confiável está sendo usado como ponto de partida de uma campanha de ciberataque.
O alerta foi divulgado pela Aryaka, empresa especializada em segurança de redes, e descreve uma operação multietapas que termina com a ativação de um módulo chamado BlackSanta, criado especificamente para desativar os sistemas de proteção da vítima antes de exfiltrar seus dados.
smart_display
Vídeos em destaque
Por que o ataque começa no RH
Profissionais de RH costumam receber e baixar arquivos enviados por desconhecidos como parte do trabalho, muitas vezes sob pressão de tempo.
Essas equipes têm, frequentemente, acesso a sistemas internos e lidam com dados pessoais sensíveis de funcionários e candidatos. Em várias empresas, entretanto, o RH não conta com o mesmo nível de proteção que áreas como TI ou Financeiro. Essa combinação de acesso privilegiado e menor vigilância é exatamente o que os invasores exploram.
O currículo que não é um currículo
A infecção se inicia quando a vítima recebe um link apontando para o que aparenta ser um currículo hospedado em um serviço de nuvem conhecido. O arquivo baixado é um ISO, um tipo de arquivo que reproduz a estrutura de um disco e pode ser montado pelo sistema operacional como se fosse um dispositivo removível conectado ao computador.
Ao abrir o conteúdo do disco virtual, a vítima enxerga o que parece ser um documento de currículo. Na verdade, trata-se de um arquivo LNK, um atalho do Windows. Atalhos podem ser configurados para executar qualquer comando no sistema ao serem clicados. Com um duplo clique no que acredita ser um currículo, a vítima dispara a sequência de ataque sem perceber.
Payload escondido numa foto
O atalho executa comandos via PowerShell, uma ferramenta legítima de administração do Windows. Por ser nativa do sistema, seu uso não costuma levantar suspeitas. Essa técnica é conhecida como Living-off-the-Land, ou seja, aproveitar recursos legítimos do próprio sistema atacado para conduzir o ataque.
Esses comandos extraem o malware de dentro de uma imagem usando esteganografia, a prática de ocultar informações dentro de arquivos aparentemente inocentes. Para ferramentas de segurança que analisam arquivos, aquilo parecia apenas uma foto comum.
Uma vez extraído, o malware se instala discretamente se passando por um programa confiável, com certificação digital da Microsoft, o que torna sua detecção ainda mais difícil.
BlackSanta, o componente que apaga as defesas
O módulo mais perigoso da operação é o BlackSanta. Antes de executar suas rotinas, ele verifica se está sendo analisado em um ambiente de pesquisa. Se identificar sinais de monitoramento, ele interrompe a execução. Só quando confirma que está em um ambiente real é que prossegue o ataque.
O BlackSanta usa uma técnica chamada BYOVD (Bring Your Own Vulnerable Driver), que pode ser traduzida como “traga seu próprio driver vulnerável”. Um driver opera em um nível profundo do sistema operacional e tem permissões quase totais sobre o que ocorre na máquina. Para atuar nesse nível no Windows, um driver precisa de uma assinatura digital válida da Microsoft.
O que o BlackSanta faz é carregar drivers com essa assinatura válida, mas que também apresentam vulnerabilidades conhecidas. Como o driver é certificado, o Windows o aceita sem questionamentos.
Uma vez em execução, o BlackSanta explora a falha para encerrar processos de antivírus, desativar agentes de EDR (softwares que monitoram comportamentos suspeitos em tempo real), suprimir registros de atividade do sistema e reduzir a visibilidade nos consoles de segurança.
As defesas da vítima são neutralizadas por dentro, utilizando ferramentas que o próprio sistema operacional reconhece como legítimas.
O roubo de dados
Com as proteções desativadas, o malware começa a coletar informações valiosas do computador da vítima, incluindo credenciais de acesso e dados de carteiras de criptomoedas. Todo esse material é transferido de forma discreta e criptografada para os atacantes.
Como os mecanismos de proteção já foram derrubados pelo BlackSanta, essa transmissão ocorre com visibilidade praticamente nula.
O relatório da Aryaka descreve a operação como uma cadeia de ataque bem planejada, conduzida por um adversário com elevado nível técnico, que encontrou no setor de RH uma porta de entrada que poucas empresas ainda consideram proteger.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
