Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Резюме-ловушка: BlackSanta отключает защиту рабочих станций

2 мин
Изображение: recraft Исследователи обнаружили масштабную кампанию вредоносного заражения, где якобы русские хакеры атакуют кадровые службы компаний через поддельные резюме. В атаках применяется ранее неизвестный вредоносный инструмент под названием BlackSanta, способный отключать системы обнаружения угроз на рабочих станциях. Специалисты сообщили, что вредоносная операция продолжается не менее года и строится на многоступенчатой схеме проникновения в корпоративные компьютеры. Начальная точка атаки выглядит довольно привычно для сотрудников отделов кадров. На рабочую почту приходит письмо от якобы соискателя работы. Внутри находится ссылка на папку в облачном хранилище Dropbox, где лежит файл формата ISO. Подобные файлы представляют собой образ диска — когда-то популярный способ распространения программного обеспечения, который активно использовался в эпоху оптических носителей. Сегодня подобный формат почти не применяется в повседневной работе, поэтому его появление в письмах с резюме

Изображение: recraft

Исследователи обнаружили масштабную кампанию вредоносного заражения, где якобы русские хакеры атакуют кадровые службы компаний через поддельные резюме. В атаках применяется ранее неизвестный вредоносный инструмент под названием BlackSanta, способный отключать системы обнаружения угроз на рабочих станциях.

Специалисты сообщили, что вредоносная операция продолжается не менее года и строится на многоступенчатой схеме проникновения в корпоративные компьютеры.

Начальная точка атаки выглядит довольно привычно для сотрудников отделов кадров. На рабочую почту приходит письмо от якобы соискателя работы. Внутри находится ссылка на папку в облачном хранилище Dropbox, где лежит файл формата ISO. Подобные файлы представляют собой образ диска — когда-то популярный способ распространения программного обеспечения, который активно использовался в эпоху оптических носителей.

Сегодня подобный формат почти не применяется в повседневной работе, поэтому его появление в письмах с резюме должно вызывать настороженность. Тем не менее многие получатели скачивают файл и открывают его содержимое.

После распаковки пользователь обнаруживает набор файлов. Среди них находятся ярлык и PowerShell-скрипт. Именно этот скрипт запускает дальнейшую цепочку заражения. Он загружает вредоносную DLL-библиотеку, а также легитимное приложение для чтения PDF-документов. Программа используется как прикрытие, через которое вредоносный модуль внедряется в систему.

Следующий этап работы вредоносного кода связан с анализом среды, где он оказался. DLL-модуль проверяет систему и пытается определить, находится ли она в виртуальной машине или исследовательской среде. Если проверка не выявляет признаков анализа, начинается загрузка дополнительных компонентов атаки.

Одним из таких компонентов становится вредоносная программа BlackSanta. Этот инструмент описывается специалистами как средство подавления систем обнаружения угроз на конечных устройствах. Его задача — остановить работу защитных механизмов до того момента, когда на компьютере появятся другие вредоносные модули.

Оригинал публикации на сайте CISOCLUB: ""Русские хакеры" атакуют HR-отделы с помощью нового вредоносного ПО под названием BlackSanta".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.