Uma nova campanha de ciberataques está explorando processos comuns de recrutamento para comprometer redes corporativas. Segundo um relatório divulgado pela empresa de segurança Aryaka, criminosos estão utilizando currículos falsos hospedados em serviços de nuvem confiáveis como ponto inicial para infiltrar malware em computadores de empresas.
A operação envolve diversas etapas e culmina na ativação de um módulo malicioso chamado BlackSanta, criado para desativar as defesas do sistema antes de iniciar o roubo de dados sensíveis.
Por que o alvo é o setor de RH
Os atacantes escolheram o setor de Recursos Humanos por um motivo estratégico. Profissionais da área frequentemente precisam baixar arquivos enviados por candidatos desconhecidos, muitas vezes sob pressão de tempo durante processos seletivos.
Além disso, equipes de RH costumam ter acesso a sistemas internos e a grandes volumes de dados pessoais de funcionários e candidatos. Em diversas empresas, no entanto, esses departamentos não recebem o mesmo nível de proteção de segurança aplicado a áreas como TI ou financeiro.
Essa combinação de acesso privilegiado e menor monitoramento de segurança cria um cenário ideal para exploração por cibercriminosos.
O “currículo” que inicia o ataque
O golpe começa quando a vítima recebe um link para um suposto currículo hospedado em um serviço de nuvem confiável. Ao baixar o arquivo, o usuário obtém um arquivo ISO, formato que simula um disco virtual e pode ser montado pelo sistema operacional como se fosse um pendrive conectado ao computador.
Dentro desse disco virtual, a vítima encontra o que parece ser um documento de currículo. Na realidade, trata-se de um arquivo LNK, um tipo de atalho do Windows que pode executar comandos automaticamente quando aberto.
Ao clicar no arquivo acreditando estar visualizando o currículo, o usuário ativa silenciosamente a cadeia de ataque.
Malware escondido dentro de uma imagem
O atalho executa comandos por meio do PowerShell, ferramenta legítima de administração presente no sistema operacional Microsoft Windows. Como se trata de um recurso nativo, a atividade costuma levantar menos suspeitas.
Essa técnica é conhecida como Living-off-the-Land, estratégia que utiliza ferramentas legítimas do próprio sistema para executar ataques.
Durante esse processo, os comandos extraem o malware escondido dentro de uma imagem através de esteganografia, técnica que permite ocultar dados em arquivos aparentemente inocentes. Para sistemas de segurança tradicionais, o arquivo parecia apenas uma fotografia comum.
Depois de extraído, o malware se instala no sistema disfarçado como um programa confiável, utilizando inclusive certificação digital válida da Microsoft para dificultar a detecção.
BlackSanta: o módulo que desativa as defesas
A parte mais crítica da operação é o módulo BlackSanta. Antes de executar suas funções, o software verifica se está sendo analisado em ambientes controlados utilizados por pesquisadores de segurança. Caso detecte sinais de monitoramento, ele interrompe sua execução.
Quando confirma que está em um sistema real, o malware ativa uma técnica conhecida como BYOVD (Bring Your Own Vulnerable Driver).
Drivers são softwares que operam em níveis extremamente privilegiados do sistema operacional. Para serem executados no Windows, precisam possuir uma assinatura digital válida da Microsoft.
O BlackSanta aproveita drivers legítimos que possuem vulnerabilidades conhecidas. Como a assinatura digital é válida, o sistema operacional permite sua execução normalmente. A partir daí, o malware explora essas falhas para obter controle profundo sobre o computador.
Com esse acesso, o módulo consegue:
- Encerrar processos de antivírus
- Desativar agentes de EDR (Endpoint Detection and Response)
- Ocultar registros de atividade do sistema
- Remover a visibilidade dos consoles de segurança
Na prática, as defesas da máquina são neutralizadas de dentro para fora, usando componentes que o próprio sistema considera legítimos.
Roubo silencioso de informações
Com os mecanismos de proteção desativados, o malware inicia a coleta de dados armazenados no computador comprometido. Entre as informações visadas estão credenciais de acesso, dados corporativos e informações relacionadas a carteiras de criptomoedas.
Esses dados são enviados aos servidores dos atacantes de forma criptografada, reduzindo ainda mais as chances de detecção.
De acordo com a Aryaka, a campanha apresenta características de uma operação altamente sofisticada, conduzida por atacantes com conhecimento técnico avançado. O relatório alerta que o setor de recursos humanos continua sendo uma porta de entrada pouco protegida em muitas organizações, tornando-se um alvo cada vez mais explorado em ataques modernos.
