Depuis plus d'un an, un acteur de la menace russophone mène une campagne pour les services des ressources humaines qui combinent le génie social et les techniques d'évasion avancées pour extraire l'information de l'équipement engagé. Les agresseurs se présentent comme des candidats et a utilisé des fichiers d'images ISO contenant ce qui semblait être du curriculus, hébergés dans des services de stockage en nuage, comme Dropbox, dans le but de tromper les agents de négociation des contrats pour télécharger et ouvrir ces conteneurs.
L'analyse des chercheurs du réseau Aryaka et des solutions de sécurité révèle une chaîne d'infection conçue pour passer inaperçue. Dans les ISO malveillantes examinées quatre éléments sont apparus: un accès direct de Windows (.LNK) qui a simulé être un PDF, un script PowerShell, une image et une icône (.ICO). En ouvrant l'accès direct, PowerShell a été lancé pour exécuter le script, qui à son tour il a extrait des données cachées à l'intérieur de l'image au moyen de la stéganographie et les a courus seulement en mémoire, empêchant les fichiers malveillants d'être visibles sur le disque.
En outre, le script a téléchargé un fichier ZIP qui comprenait une version légitime de SumatraPDF reader ainsi qu'une DLL malveillante (DWrite.dll) conçue pour le charger au moyen de la technique connue comme Chargement latéral DLL. Cette technique profite des exécutables signés ou légitimes pour charger des librairies manipulées, ce qui complique la détection par des solutions traditionnelles. Le code a ensuite recueilli des informations du système (empreintes digitales) et les a envoyées à un serveur de contrôle et de contrôle (C2), tout en effectuant des contrôles environnementaux : s'il détecte des machines virtuelles, des bacs à sable ou des outils de débogage, il a avorté l'exécution pour éviter d'abandonner.
Une partie centrale de l'opération est un exécutable identifié comme BlackSanta, décrit par les auteurs du rapport comme un "tueur EDR". Son but est de désactiver ou de neutraliser les protections des paramètres avant le déploiement de charges utiles plus dangereuses. Parmi ses actions documentées figure la création d'exclusions dans Microsoft Defender pour des extensions spécifiques (p. ex. fichiers .dls et .sys) et la modification des clés d'enregistrement pour réduire la télémétrie et l'échantillonnage automatique des services de sécurité cloud Microsoft. Le rapport Aryaka souligne également que BlackSanta peut supprimer les notifications Windows pour minimiser les alertes visibles par l'utilisateur et que son principal mécanisme est de détecter les processus liés aux antivirus, EDR, SIEM et outils médico-légaux pour les en finir en appelant des contrôleurs chargés agissant au niveau du noyau.
Les chercheurs ont également trouvé une infrastructure supplémentaire liée au même acteur et ont constaté que la campagne fonctionnait sans être détectée depuis un an. L'analyse des adresses IP utilisées par les attaquants a montré des téléchargements de composants "Bring Your Own Driver" (BYOD), y compris des contrôleurs légitimes mais abusifs, tels que le RogueKiller (d'Adlice) et IObitUnlocker anti-rootkit. Ces contrôleurs, initialement développés à des fins légitimes, ont été utilisés dans des opérations malveillantes pour obtenir des privilèges élevés et manipuler des crochets de noyau ou supprimer des blocs de fichiers et de processus, ce qui donne à l'attaquant un accès de bas niveau très difficile à contenir du système compromis lui-même.
La technique de faire fonctionner des charges en mémoire, de cacher des instructions en images, d'utiliser la DLL sideloading et d'abuser des conducteurs légitimes forme une chaîne d'engagements conçus pour éviter les signatures et les bacs à sable. Le résultat est une opération furtive et adaptable avec un acteur qui s'occupe de sa sécurité opérationnelle afin que ses outils - tels que BlackSanta - puissent être déployés et exploités sans être interrompus par les défenses habituelles.
Pour ceux qui gèrent les processus de sélection, il y a une leçon claire : les attaquants ont transformé le curriculus en oignons efficaces. Ouvrir une ISO ou lancer un fichier reçu d'une source non vérifiée peut déclencher une intrusion qui désactive d'abord la protection de l'équipement et télécharge ensuite des composants plus nocifs. Les organisations devraient examiner les politiques et les contrôles afin de s'assurer que les fichiers démontables ou exécutables téléchargés à partir de liens externes sont ouverts sans vérification et que la gestion des conducteurs exige des approbations et des vérifications élevées.
Si vous souhaitez approfondir les détails techniques, le rapport d'Aryaka vous propose une analyse technique et des échantillons comportementaux en observant la campagne : rapport technique d'Aryaka (PDF). Pour comprendre pourquoi l'utilisation de pilotes légitimes est particulièrement dangereuse, vous pouvez vérifier les pages des développeurs de ces pilotes, comme Adlice pour RogueKiller ( adlice.com / voyeur) et IObit pour le déverrouillage IObit ( iobit.com / iobit-unlocker), où son but légitime est expliqué et comment son abus constitue un vecteur de levée de privilèges. Pour compléter la vision de la manière dont ces techniques sont apparues dans d'autres campagnes et comment les défenseurs peuvent les atténuer, il existe une couverture spécialisée dans les médias de cybersécurité qui ont mis en évidence l'utilisation de pilotes signés par les agresseurs pour neutraliser l'EDR, par exemple dans Calculateur, et la documentation officielle de Microsoft précise comment les exclusions et la télémétrie dans la Défense ( Microsoft Documents du défendeur).
Que devraient faire les équipes responsables aujourd'hui? Évitez de traiter les fichiers ISO ou exécutables sans validation, d'imposer des contrôles de téléchargement et de montage d'images virtuelles, de vérifier les modifications du registre et des exclusions antivirus, et de restreindre l'installation de pilotes non examinés. Il est également recommandé de surveiller le trafic sortant vers des serveurs inconnus, de corréler les signaux d'empreintes digitales du système et le comportement anormal (exécution de mémoire, processus d'injection d'enfants) et de maintenir une communication claire entre RR. HH et les équipes de sécurité pour s'assurer que tout programme suspect est traité comme un incident potentiel.
La campagne que livre BlackSanta rappelle que la surface d'attaque évolue au-delà des emails "évidents" d'hameçonnage: les attaquants combinent la tromperie humaine avec des outils techniques complexes pour faire taire les défenses et rester dans les réseaux. Une protection efficace passe par des politiques techniques (bloc de montage ISO, contrôle strict du conducteur, EDR avec télémétrie protégée) et une formation pratique pour les CV afin de reconnaître les signaux de risque avant d'interagir avec des fichiers potentiellement dangereux. Pour des renseignements généraux sur la façon d'identifier les postes de sous-implantation et d'y réagir, le guide de la US Infrastructure and Cybersecurity Agency. UU peut être utile: Recommandations de la CISA sur le phishing.
En bref, BlackSanta n'est pas seulement un autre malware: il est le fruit d'une opération qui mélange l'ingénierie sociale dirigée, l'exécution en mémoire, l'utilisation de charges auxiliaires et l'abus de composants légitimes pour réduire au silence les défenses. Cette approche exige également des réponses coordonnées entre les RR. HH., IT et sécurité pour fermer les fenêtres d'exposition et détecter les signaux précoces avant que les attaquants puissent éliminer les barrières de protection.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...