1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      
Siga-nos

TugaTech » Software » Noticias de Software » BlackSanta: o malware que ataca departamentos de RH e "limpa" o antivírus

hacker em formato digital em frente de computador

Os departamentos de Recursos Humanos estão na mira de um novo perigo digital. Um grupo de cibercriminosos, aparentemente de língua russa, tem estado a levar a cabo uma campanha sofisticada que utiliza um módulo batizado de BlackSanta para desativar as defesas dos computadores das vítimas. Segundo o relatório técnico da Aryaka, esta operação dura há mais de um ano sem ser detetada, misturando engenharia social com técnicas de evasão bastante avançadas.

O truque do currículo falso

O ataque começa de forma simples, mas eficaz. Os piratas enviam emails de spear-phishing que encaminham os alvos para descarregar ficheiros de imagem ISO alojados em serviços de nuvem como o Dropbox. Estes ficheiros disfarçam-se de currículos, algo que qualquer profissional de RH abriria sem desconfiar. Dentro do ISO, encontra-se um atalho que parece um PDF, mas que na verdade executa scripts de PowerShell para extrair dados escondidos numa imagem através de esteganografia.

Além disso, este malware utiliza uma técnica conhecida como DLL sideloading, aproveitando um executável legítimo do SumatraPDF para carregar bibliotecas maliciosas no sistema. Antes de agir, o código verifica se está a ser corrido em máquinas virtuais ou ambientes de teste (sandboxes) para evitar ser apanhado por investigadores.

BlackSanta silencia o Windows Defender

O ponto crítico desta ameaça é o BlackSanta EDR killer. Este componente foi desenhado especificamente para "matar" processos de segurança, como antivírus e ferramentas de monitorização. Ele altera o registo do sistema para reduzir a telemetria enviada para a Microsoft e cria exclusões para que as suas atividades não sejam bloqueadas pelo Windows Defender.

Para ganhar controlo total, os atacantes recorrem a uma estratégia chamada Bring Your Own Driver (BYOD). Eles instalam drivers legítimos, mas vulneráveis, como o RogueKiller da Adlice Software ou o IObitUnlocker da IObit, para manipular o kernel do sistema e terminar processos que estariam protegidos. Com o caminho livre, o software malicioso pode roubar informações sensíveis sem que o utilizador receba qualquer alerta, uma vez que as notificações do Windows também são suprimidas.

Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?



Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech