Um arquivo de currículo hospedado em serviço de nuvem confiável está sendo usado como ponto de partida de uma campanha de ciberataque.
O alerta foi publicado pela Aryaka, empresa especializada em segurança de redes, e detalha uma operação multietapas que culmina na ativação de um módulo chamado BlackSanta, desenvolvido especificamente para desligar os sistemas de proteção da vítima antes de roubar seus dados.
Por que o ataque começa no RH
Profissionais de RH têm como parte do trabalho baixar arquivos enviados por desconhecidos, e fazem isso com frequência e sob pressão de tempo.
Essas equipes costumam ter acesso a sistemas internos da empresa e lidam com informações pessoais sensíveis de funcionários e candidatos. Em muitas organizações, no entanto, o RH não recebe o mesmo nível de proteção de segurança que setores como TI ou Financeiro. Essa combinação de acesso privilegiado e menor vigilância é exatamente o que os atacantes exploram.
O currículo que não é um currículo
A infecção começa quando a vítima recebe um link apontando para o que parece ser um currículo em um serviço de nuvem reconhecido. O arquivo baixado é um ISO, um tipo de arquivo que imita a estrutura de um disco físico e pode ser montado pelo sistema operacional como se fosse um pendrive inserido no computador.
Ao abrir o conteúdo do disco virtual, a vítima vê o que parece ser um documento de currículo. Na verdade, trata-se de um arquivo LNK, que é um atalho do Windows. Atalhos podem ser configurados para executar qualquer comando no sistema ao serem clicados. Com um duplo clique no que acredita ser um currículo, a vítima ativa a sequência de ataque sem perceber.
Payload escondido numa foto
O atalho dispara comandos usando o PowerShell, uma ferramenta legítima de administração do Windows. Por ser nativa do sistema operacional, seu uso não levanta suspeitas. Essa tática é chamada de Living-off-the-Land, que significa usar os próprios recursos do sistema atacado para conduzir o ataque.
Esses comandos extraem o malware de dentro de uma imagem usando esteganografia, que é a prática de esconder informações dentro de arquivos de aparência inocente. Para sistemas de segurança que escaneiam arquivos em busca de vírus, aquilo parecia apenas uma foto comum.
Uma vez extraído, o malware se instala sorrateiramente sob a identidade de um programa confiável, com certificação digital da Microsoft, tornando sua presença ainda mais difícil de detectar.
BlackSanta, o componente que apaga as defesas
O módulo mais perigoso de toda a operação é o BlackSanta. Antes de agir, ele ainda verifica se está sendo analisado em um ambiente controlado de pesquisa. Se detectar sinais de monitoramento, simplesmente não executa suas funções. Somente quando confirma que o ambiente é real é que o ataque avança.
O BlackSanta utiliza uma técnica chamada BYOVD (Bring Your Own Vulnerable Driver), que pode ser traduzida como “traga seu próprio driver vulnerável”. Um driver é um software que opera no nível mais profundo do sistema operacional e tem permissões quase ilimitadas sobre tudo que acontece na máquina. Para rodar nesse nível no Windows, um driver precisa ter uma assinatura digital válida da Microsoft.
O que o BlackSanta faz é carregar drivers que possuem essa assinatura válida, mas que também têm vulnerabilidades conhecidas. Como o driver está certificado, o Windows o aceita sem questionar.
Uma vez ativo, o BlackSanta explora a falha para encerrar os processos de antivírus, desativar os agentes de EDR (softwares que monitoram comportamentos suspeitos no computador em tempo real), suprimir os registros de atividade do sistema e remover a visibilidade dos consoles de segurança.
As defesas da vítima são neutralizadas por dentro, usando ferramentas que o próprio sistema operacional reconhece como legítimas.
O roubo de dados
Com todas as proteções desativadas, o malware inicia a coleta de informações valiosas do computador da vítima, incluindo credenciais de acesso e dados relacionados a carteiras de criptomoedas. Toda essa informação é enviada de forma discreta e criptografada para os atacantes.
Como os sistemas de proteção já foram desligados pelo BlackSanta, essa transmissão acontece com visibilidade praticamente nula.
O relatório da Aryaka classifica a operação como uma cadeia de ataque planejada, executada por um adversário com alto nível de sofisticação técnica, que encontrou no setor de RH uma porta de entrada que poucas empresas ainda pensam em proteger.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
