🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Por mais de um ano, um agente de ameaças que fala russo atacou os departamentos de recursos humanos (RH) com malware que entrega um novo assassino de EDR chamado BlackSanta.
Descrita como “sofisticada”, a campanha mistura engenharia social com técnicas avançadas de evasão para roubar informações confidenciais de sistemas comprometidos.
Não está claro como o ataque começa, mas pesquisadores da Aryaka, fornecedora de soluções de rede e segurança, suspeitam que o malware seja distribuído por meio de e-mails de spear-phishing.
Eles acreditam que os alvos são direcionados para baixar arquivos de imagem ISO que aparecem como currículos e são hospedados em serviços de armazenamento em nuvem, como o Dropbox.
Um ISO malicioso analisado continha quatro arquivos: um atalho do Windows (.LNK) disfarçado de arquivo PDF, um script do PowerShell, uma imagem e um arquivo .ICO.
Conteúdo do arquivo ISOFonte: Aryaka
O atalho inicia o PowerShell e executa o script, que extrai dados ocultos no arquivo de imagem usando esteganografia e os executa na memória do sistema.
O código também baixa um arquivo ZIP contendo um executável SumatraPDF legítimo e uma DLL maliciosa (DWrite.dll) para carregar usando a técnica de carregamento lateral de DLL.
Script descriptografado do PowerShellFonte: Aryaka
O malware realiza impressões digitais do sistema e envia as informações para o servidor de comando e controle (C2) e, em seguida, realiza verificações extensas do ambiente para interromper a execução se sandboxes, máquinas virtuais ou ferramentas de depuração forem detectadas.
Ele também modifica as configurações do Windows Defender para enfraquecer a segurança no host, realiza testes de gravação de disco e, em seguida, baixa cargas adicionais do C2, que são executadas por meio de esvaziamento de processo, dentro de processos legítimos.
Assassino BlackSanta EDR
Um componente-chave entregue na campanha é um executável identificado como BlackSanta EDR killer, um módulo que silencia soluções de segurança de endpoint antes de implantar cargas maliciosas.
BlackSanta adiciona exclusões do Microsoft Defender para arquivos ‘.dls’ e ‘.sys’ e modifica um valor do Registro para reduzir a telemetria e o envio automático de amostras para endpoints de nuvem de segurança da Microsoft.
O relatório dos pesquisadores (PDF) observa que o BlackSanta também pode suprimir as notificações do Windows para minimizar ou silenciar completamente os alertas do usuário. A principal função do BlackSanta é encerrar processos de segurança, o que ele faz:
enumerando processos em execução
comparando os nomes com uma grande lista codificada de antivírus, EDR, SIEM e ferramentas forenses
recuperando os IDs de processo correspondentes
usando os drivers carregados para desbloquear e encerrar esses processos no nível do kernel
Parte da lista codificadaFonte: Aryaka
Aryaka não compartilhou detalhes sobre as organizações-alvo ou os atores da ameaça por trás da campanha e não conseguiu recuperar a carga final usada no caso observado, pois o servidor C2 não estava disponível no momento da análise.
Os pesquisadores conseguiram identificar infraestrutura adicional usada pelo mesmo ator de ameaça e descobriram vários endereços IP relacionados à mesma campanha. Foi assim que souberam que a operação havia passado despercebida durante o ano passado.
Observando os endereços IP, os pesquisadores descobriram que o malware também baixou componentes Bring Your Own Driver (BYOD), que incluíam o driver RogueKiller Antirootkit v3.1.0 da Adlice Software e IObitUnlocker.sys v1.2.0.1 da IObit.
Esses drivers foram usados em operações de malware (1, 2) para obter privilégios elevados na máquina comprometida e suprimir ferramentas de segurança.
RogueKiller (truesight.sys) permite a manipulação de ganchos do kernel e monitoramento de memória, enquanto IObitUnlocker.sys permite ignorar bloqueios de arquivos e processos. Essa combinação fornece ao malware acesso de baixo nível à memória e aos processos do sistema.
Os pesquisadores de Aryaka dizem que o ator da ameaça por trás da campanha mostra forte segurança operacional e usa cadeias de infecção furtivas e sensíveis ao contexto para implantar componentes como o BlackSanta EDR.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
Descrita como “sofisticada”, a campanha mistura engenharia social com técnicas avançadas de evasão para roubar informações confidenciais de sistemas comprometidos.
Não está claro como o ataque começa, mas pesquisadores da Aryaka, fornecedora de soluções de rede e segurança, suspeitam que o malware seja distribuído por meio de e-mails de spear-phishing.
Eles acreditam que os alvos são direcionados para baixar arquivos de imagem ISO que aparecem como currículos e são hospedados em serviços de armazenamento em nuvem, como o Dropbox.
Um ISO malicioso analisado continha quatro arquivos: um atalho do Windows (.LNK) disfarçado de arquivo PDF, um script do PowerShell, uma imagem e um arquivo .ICO.
Conteúdo do arquivo ISOFonte: Aryaka
O atalho inicia o PowerShell e executa o script, que extrai dados ocultos no arquivo de imagem usando esteganografia e os executa na memória do sistema.
O código também baixa um arquivo ZIP contendo um executável SumatraPDF legítimo e uma DLL maliciosa (DWrite.dll) para carregar usando a técnica de carregamento lateral de DLL.
Script descriptografado do PowerShellFonte: Aryaka
O malware realiza impressões digitais do sistema e envia as informações para o servidor de comando e controle (C2) e, em seguida, realiza verificações extensas do ambiente para interromper a execução se sandboxes, máquinas virtuais ou ferramentas de depuração forem detectadas.
Ele também modifica as configurações do Windows Defender para enfraquecer a segurança no host, realiza testes de gravação de disco e, em seguida, baixa cargas adicionais do C2, que são executadas por meio de esvaziamento de processo, dentro de processos legítimos.
Assassino BlackSanta EDR
Um componente-chave entregue na campanha é um executável identificado como BlackSanta EDR killer, um módulo que silencia soluções de segurança de endpoint antes de implantar cargas maliciosas.
BlackSanta adiciona exclusões do Microsoft Defender para arquivos ‘.dls’ e ‘.sys’ e modifica um valor do Registro para reduzir a telemetria e o envio automático de amostras para endpoints de nuvem de segurança da Microsoft.
O relatório dos pesquisadores (PDF) observa que o BlackSanta também pode suprimir as notificações do Windows para minimizar ou silenciar completamente os alertas do usuário. A principal função do BlackSanta é encerrar processos de segurança, o que ele faz:
enumerando processos em execução
comparando os nomes com uma grande lista codificada de antivírus, EDR, SIEM e ferramentas forenses
recuperando os IDs de processo correspondentes
usando os drivers carregados para desbloquear e encerrar esses processos no nível do kernel
Parte da lista codificadaFonte: Aryaka
Aryaka não compartilhou detalhes sobre as organizações-alvo ou os atores da ameaça por trás da campanha e não conseguiu recuperar a carga final usada no caso observado, pois o servidor C2 não estava disponível no momento da análise.
Os pesquisadores conseguiram identificar infraestrutura adicional usada pelo mesmo ator de ameaça e descobriram vários endereços IP relacionados à mesma campanha. Foi assim que souberam que a operação havia passado despercebida durante o ano passado.
Observando os endereços IP, os pesquisadores descobriram que o malware também baixou componentes Bring Your Own Driver (BYOD), que incluíam o driver RogueKiller Antirootkit v3.1.0 da Adlice Software e IObitUnlocker.sys v1.2.0.1 da IObit.
Esses drivers foram usados em operações de malware (1, 2) para obter privilégios elevados na máquina comprometida e suprimir ferramentas de segurança.
RogueKiller (truesight.sys) permite a manipulação de ganchos do kernel e monitoramento de memória, enquanto IObitUnlocker.sys permite ignorar bloqueios de arquivos e processos. Essa combinação fornece ao malware acesso de baixo nível à memória e aos processos do sistema.
Os pesquisadores de Aryaka dizem que o ator da ameaça por trás da campanha mostra forte segurança operacional e usa cadeias de infecção furtivas e sensíveis ao contexto para implantar componentes como o BlackSanta EDR.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #novo #assassino #de #edr #‘blacksanta’ #identificado #como #alvo #de #departamentos #de #rh
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário