Pesquisadores de segurança identificaram uma campanha maliciosa sofisticada envolvendo o BlackSanta, um malware associado a operadores que utilizam infraestrutura e comunicação em língua russa. A atividade foi observada ao longo de aproximadamente um ano e chamou atenção por seu foco incomum: departamentos de recursos humanos.
O ataque explora um cenário comum dentro das empresas. Profissionais de RH recebem diariamente currículos e documentos de candidatos, muitas vezes de remetentes desconhecidos. Os operadores por trás do Malware BlackSanta aproveitam exatamente essa rotina para distribuir arquivos maliciosos disfarçados de candidaturas de emprego.
Uma vez executado, o malware inicia uma cadeia de infecção complexa que inclui técnicas como Esteganografia, DLL Side-loading, Process Hollowing e BYOVD. O objetivo é claro: obter acesso profundo ao sistema e desativar ferramentas corporativas de segurança de endpoint, reduzindo drasticamente a capacidade de detecção da rede comprometida.
Essa abordagem torna o BlackSanta particularmente perigoso, pois ele tenta neutralizar as defesas antes de executar outras etapas da intrusão.
A anatomia do ataque
A campanha começa com e-mails cuidadosamente elaborados enviados a departamentos de RH. As mensagens simulam candidaturas legítimas a vagas de emprego e incluem anexos que aparentam ser currículos ou portfólios.
Os anexos normalmente chegam no formato de arquivo ISO. Esse formato permite que múltiplos arquivos sejam distribuídos dentro de um único contêiner, além de evitar alguns mecanismos tradicionais de verificação usados em sistemas de e-mail.
Quando o arquivo é aberto, a vítima encontra documentos aparentemente normais. Entretanto, o elemento central do ataque está em um arquivo LNK, que funciona como um atalho capaz de executar comandos em segundo plano.
Esse atalho inicia uma cadeia de comandos via PowerShell, responsável por carregar componentes adicionais do Malware BlackSanta e preparar o ambiente comprometido para as próximas fases da operação.
Esteganografia
Um dos recursos usados pelo BlackSanta para evitar detecção é a Esteganografia.
Essa técnica permite esconder código malicioso dentro de arquivos aparentemente inofensivos, como imagens. Arquivos PNG ou JPG incluídos no pacote inicial podem conter dados ocultos que não são visíveis ao usuário.
Durante a execução do ataque, scripts ou loaders extraem esses dados escondidos e reconstruem partes do malware na memória do sistema.
Esse método ajuda a reduzir a probabilidade de detecção por ferramentas que analisam apenas arquivos executáveis tradicionais. Para soluções automatizadas de segurança, as imagens parecem completamente legítimas.
DLL Side-loading
Outra técnica central utilizada pelo Malware BlackSanta é o DLL Side-loading.
Nesse método, os atacantes utilizam um programa legítimo para carregar uma biblioteca maliciosa. O executável escolhido na campanha analisada é o SumatraPDF, um leitor de documentos leve e amplamente utilizado.
Os atacantes distribuem o executável legítimo junto com uma DLL adulterada. Quando o programa é iniciado, ele procura bibliotecas necessárias no diretório local e acaba carregando a versão maliciosa fornecida pelos criminosos.
Como o executável é legítimo e confiável, muitas ferramentas de segurança inicialmente não identificam o comportamento suspeito.
Uso de drivers vulneráveis para desativar proteção
Uma das etapas mais críticas da operação envolve o uso da técnica BYOVD.
A sigla significa “Bring Your Own Vulnerable Driver”, ou seja, utilizar drivers legítimos que possuem falhas conhecidas para obter acesso privilegiado ao sistema.
Nesse tipo de ataque, o BlackSanta carrega drivers vulneráveis que permitem interações diretas com o kernel do sistema operacional. Com esse nível de acesso, o malware pode manipular processos críticos do Windows.
Essa capacidade abre caminho para interferir diretamente em ferramentas de segurança de endpoint, como antivírus corporativos e plataformas de detecção e resposta.
Processos monitorados
Após obter privilégios elevados, o Malware BlackSanta realiza uma verificação ativa em busca de processos relacionados a software de segurança.
Entre os alvos típicos estão:
• plataformas corporativas de detecção e resposta
• antivírus tradicionais
• agentes de monitoramento de endpoint
• ferramentas de análise comportamental
Quando identifica esses processos, o malware tenta encerrá-los ou impedir sua execução. Esse comportamento permite que o restante da operação ocorra com menos chances de ser detectado.
Evasão e persistência
Mesmo após interferir nas ferramentas de segurança, o BlackSanta utiliza técnicas adicionais para manter sua presença no sistema comprometido.
Uma delas envolve alterações nas configurações do Windows Defender. O malware modifica políticas de proteção e reduz a capacidade de detecção da ferramenta nativa do sistema.
Além disso, o código pode suprimir notificações de segurança, reduzindo a probabilidade de que o usuário perceba atividades suspeitas.
Outra técnica relevante empregada é o Process Hollowing.
Nesse método, um processo legítimo do sistema é iniciado normalmente. Em seguida, seu conteúdo original é removido da memória e substituído pelo código do malware.
Como resultado, o código malicioso passa a ser executado dentro de um processo aparentemente legítimo, o que dificulta a detecção por ferramentas de monitoramento.
Conclusão e medidas de proteção
A campanha envolvendo o Malware BlackSanta demonstra como ataques direcionados estão explorando áreas administrativas das empresas, especialmente setores como recursos humanos.
Ao utilizar técnicas como Esteganografia, DLL Side-loading, BYOVD e Process Hollowing, os operadores conseguem criar uma cadeia de infecção capaz de contornar diversas camadas de defesa.
Esse tipo de ameaça reforça a necessidade de adotar estratégias de segurança que combinem tecnologia e conscientização dos usuários.
Algumas medidas que podem reduzir o risco incluem:
• bloquear ou restringir anexos ISO em sistemas de e-mail corporativos
• monitorar carregamento de drivers no sistema operacional
• aplicar políticas de privilégio mínimo para usuários
• treinar equipes de RH para identificar tentativas de engenharia social
• adotar soluções de detecção baseadas em comportamento
Em um cenário em que ataques estão cada vez mais direcionados, proteger áreas administrativas tornou-se tão importante quanto defender infraestruturas críticas de TI.
