Durante mais de um ano, um ator de ameaças de língua russa executou uma campanha dirigida a departamentos de recursos humanos que combina engenharia social com técnicas avançadas de evasão para extrair informações de equipamentos comprometidos. Os atacantes passaram por candidatos e utilizaram arquivos de imagem ISO que continham o que pareciam ser currículos, hospedados em serviços de armazenamento na nuvem, como o Dropbox, com o objetivo de enganar os responsáveis pela contratação para baixar e abrir esses contentores.
A análise dos pesquisadores da empresa de soluções de rede e segurança Aryaka revela uma cadeia de infecção pensada para passar desapercibida. Nos ISOs maliciosos examinados apareciam quatro elementos: um acesso direto do Windows (.LNK) que simulava ser um PDF, um programa do PowerShell, uma imagem e um ícone (.ICO). Ao abrir o acesso direto, PowerShell foi lançado para executar o programa, que por sua vez Extraia dados escondidos dentro da imagem por esteganografia e os executava apenas em memória, evitando que arquivos maliciosos ficassem visíveis no disco.
Além disso, o roteiro descarregava um arquivo ZIP que incluía uma versão legítima do leitor SumatraPDF junto a um DLL maliciosa (DWrite.dll) projetado para ser carregado através da técnica conhecida como DLL sideloading. Esta técnica aproveita executáveis assinados ou legítimos para carregar livrarias manipuladas, o que complica a detecção por parte de soluções tradicionais. Posteriormente, o código coletava informações do sistema (fingerprinting) e a enviava para um servidor de comando e controle (C2), enquanto realizava verificações ambientais: se detectava máquinas virtuais, sandboxes ou ferramentas de depuração, abortava a execução para não se delatar.
Uma peça central da operação é um executável identificado como BlackSanta, descrito pelos autores do relatório como um “EDR killer”. A sua finalidade é desativar ou neutralizar protecções de endpoints antes de serem implantadas cargas úteis mais perigosas. Entre suas ações documentadas está a criação de exclusões na Microsoft Defender para extensões específicas (por exemplo, arquivos .dls e .sys) e a modificação de chaves do Registro para reduzir a telemetria e a subida automática de amostras aos serviços de segurança na nuvem da Microsoft. O relatório de Aryaka também indica que BlackSanta pode suprimir notificações do Windows para minimizar alertas visíveis ao usuário e que seu mecanismo principal consiste em detectar processos relacionados com antivírus, EDR, SIEM e ferramentas forenses para terminar com chamadas a controladores carregados que atuam em nível de kernel.
Os pesquisadores encontraram também infraestrutura adicional vinculada ao mesmo ator e constataram que a campanha levava operando sem ser detectada durante um ano. A análise dos endereços IP usados pelos atacantes mostrou downloads de componentes “Bring Your Own Driver” (BYOD), entre eles controladores legítimos, mas abusados, como o antirrootkit RogueKiller (de Adlice) e IObitUnlocker. Estes controladores, originalmente desenvolvidos para fins legítimos, foram aproveitados em operações maliciosas para obter privilégios elevados e manipular hooks do kernel ou sortear bloqueios de arquivos e processos, o que confere ao atacante um acesso de baixo nível muito difícil de conter desde o próprio sistema comprometido.
A técnica de executar cargas em memória, esconder instruções em imagens, usar sideloading de DLL e abusar de drivers legítimos forma uma cadeia de compromissos projetada para evitar assinaturas e sandboxes. O resultado é uma operação sigilosa e adaptável, com um ator que cuida de sua segurança operacional para que suas ferramentas, como BlackSanta, possam se implantar e operar sem ser interrompidas pelas defesas habituais.
Para quem lida com processos de seleção há uma lição clara: os atacantes tornaram os currículos em cebos eficazes. Abrir um ISO ou executar um ficheiro recebido de uma fonte não verificada pode desencadear uma intrusão que, em primeiro lugar, desactiva a protecção do equipamento e depois transferir componentes mais prejudiciais. As organizações devem rever políticas e controlos para evitar que arquivos montables (ISOs) ou executáveis baixados a partir de ligações externas sejam abertos sem verificação e que a manipulação de controladores exija aprobações elevadas e auditoria.
Se você quer aprofundar os detalhes técnicos, o próprio relatório de Aryaka oferece uma análise técnica e amostras do comportamento observando a campanha: Relatório Técnico de Aryaka (PDF). Para entender por que o uso de drivers legítimos é especialmente perigoso, você pode consultar as páginas dos desenvolvedores desses controladores, como Adlice para RogueKiller ( adlice.com/roguekiller) e IObit para IObit Unlocker ( iobit.com/iobit-unlocker), onde se explica seu propósito legítimo e como seu abuso constitui um vetor de elevação de privilégios. Para complementar a visão sobre como estas técnicas surgiram em outras campanhas e como os defensores podem mitigar, há cobertura especializada em meios de cibersegurança que destacaram o uso de drivers assinados por atacantes para neutralizar EDR, por exemplo em BleepingComputer, e a documentação oficial da Microsoft esclarece como funcionam as exclusões e a telemetria em Defender ( Documentação da Microsoft Defender).
O que devem fazer hoje as equipes responsáveis? Evitar que o HR trate arquivos ISO ou executáveis sem validação, impor controles de download e montagem de imagens virtuais, auditar mudanças no Registro e exclusões de antivírus, e restringir a instalação de drivers sem revisão. Também é recomendável monitorar o tráfego saliente para servidores desconhecidos, correlacionar sinais de fingerprinting do sistema e comportamento anómalo (execução em memória, processos filhos que injetam código) e manter uma comunicação clara entre RR. HH. e as equipes de segurança para que qualquer currículo suspeito se trate como um incidente potencial.
A campanha que entrega BlackSanta lembra que a superfície de ataque evolui para além dos e-mails phishing “obvios”: os atacantes combinam engano humano com ferramentas técnicas complexas Para silenciar defesas e permanecer dentro das redes. A proteção efetiva passa por políticas técnicas (bloqueio de montagem de ISOs, controle estrito de drivers, EDR com telemetria protegida) e por formação prática para que aqueles que operam CVs reconheçam sinais de risco antes de interagirem com arquivos potencialmente perigosos. Para informações gerais sobre como identificar e reagir aos e-mails de suplantação, o guia da Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. Os EUA podem ser úteis: recomendações de CISA sobre phishing.
Em resumo, BlackSanta não é apenas outra peça de malware: é fruto de uma operação que mistura engenharia social dirigida, execução em memória, uso de cargas auxiliares e abuso de componentes legítimos para silenciar defesas. Essa abordagem requer igualmente respostas coordenadas entre RR. HH., TI e segurança para fechar as janelas de exposição e detectar sinais precoces antes de os atacantes conseguirem anular as barreiras de proteção.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...