Por mais de um ano, um grupo de cibercriminosos russófonos vem atacando departamentos de recursos humanos (RH) usando um malware que entrega um novo destruidor de soluções EDR (Endpoint Detection and Response) chamado BlackSanta.
Descrita como “sofisticada”, a campanha combina técnicas de engenharia social com métodos avançados de evasão para roubar informações sensíveis dos sistemas comprometidos.
Embora a forma exata da infecção inicial seja incerta, pesquisadores da Aryaka, empresa especializada em redes e segurança, suspeitam que o malware é distribuído por meio de campanhas de spear-phishing.
As vítimas são induzidas a baixar arquivos no formato ISO que se passam por currículos, hospedados em serviços de armazenamento na nuvem, como o Dropbox.
Um ISO malicioso analisado continha quatro arquivos: um atalho do Windows (.LNK) disfarçado de PDF, um script em PowerShell, uma imagem e um arquivo .ICO.
O atalho executa o PowerShell, que por sua vez roda o script.
Esse script extrai dados ocultos na imagem por meio de esteganografia e injeta o código diretamente na memória do sistema.
Além disso, o malware baixa um arquivo ZIP com um executável legítimo do SumatraPDF e uma DLL maliciosa (DWrite.dll), que é carregada por meio da técnica de DLL sideloading para burlar mecanismos de segurança.
Após analisar o ambiente, o malware realiza fingerprinting do sistema e envia essas informações ao servidor de comando e controle (C2).
Em seguida, executa diversas verificações para detectar se está sendo monitorado por sandbox, máquinas virtuais ou ferramentas de debugging, interrompendo a execução caso algum deles seja identificado.
Ele também modifica configurações do Windows Defender para enfraquecer a proteção local, realiza testes de escrita em disco e baixa cargas adicionais do C2, que são executadas via process hollowing em processos legítimos.
Um componente central da campanha é o executável BlackSanta, conhecido como um "EDR killer".
Esse módulo desativa as soluções de segurança do endpoint antes de implantar as cargas maliciosas.
O BlackSanta adiciona exclusões no Microsoft Defender para arquivos com extensões ‘.dls’ e ‘.sys’ e altera valores no Registro do Windows para reduzir a telemetria e o envio automático de amostras para a nuvem de segurança da Microsoft.
O relatório dos pesquisadores destaca que o BlackSanta também pode suprimir notificações do Windows, minimizando ou até eliminando alertas para o usuário.
Sua função principal é encerrar processos de segurança, o que realiza por meio de:
- Enumeração dos processos em execução
- Comparação dos nomes com uma extensa lista pré-definida de antivírus, EDRs, SIEMs e ferramentas forenses
- Recuperação dos IDs dos processos correspondentes
- Uso dos drivers carregados para desbloquear e finalizar esses processos diretamente no kernel
A Aryaka não divulgou detalhes sobre as organizações-alvo nem sobre os operadores por trás da campanha e não conseguiu obter a carga final usada no caso analisado, já que o servidor C2 estava offline durante a investigação.
Porém, os pesquisadores identificaram outras infraestruturas associadas ao mesmo grupo e descobriram vários endereços IP ligados à campanha, revelando que a operação estava ativa e invisível por mais de um ano.
Ao analisar os IPs, eles perceberam que o malware também baixava componentes Bring Your Own Driver (BYOD), incluindo o driver antirrootkit RogueKiller v3.1.0, da Adlice Software, e o driver IObitUnlocker.sys v1.2.0.1, da IObit.
Esses drivers são conhecidos por serem usados em operações maliciosas para obter privilégios elevados na máquina comprometida e desativar ferramentas de segurança.
O RogueKiller (truesight.sys) permite manipulação de hooks no kernel e monitoramento de memória, enquanto o IObitUnlocker.sys contorna bloqueios de arquivos e processos.
Juntos, proporcionam ao malware acesso de baixo nível à memória e processos do sistema.
Os pesquisadores da Aryaka ressaltam que o grupo responsável pela campanha demonstra forte segurança operacional e emprega cadeias de infecção contextuais e furtivas para implantar componentes como o BlackSanta EDR killer.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...