{"id":119,"date":"2026-03-12T21:45:42","date_gmt":"2026-03-13T00:45:42","guid":{"rendered":"https:\/\/tecmania.com.br\/?p=119"},"modified":"2026-03-12T21:45:42","modified_gmt":"2026-03-13T00:45:42","slug":"blacksanta-malware-curriculo-falso-invadir-empresas","status":"publish","type":"post","link":"https:\/\/tecmania.com.br\/blog\/blacksanta-malware-curriculo-falso-invadir-empresas\/","title":{"rendered":"BlackSanta: malware usa curr\u00edculo falso para invadir empresas e desativar sistemas de seguran\u00e7a"},"content":{"rendered":"\n

Uma nova campanha de ciberataques est\u00e1 explorando processos comuns de recrutamento para comprometer redes corporativas. Segundo um relat\u00f3rio divulgado pela empresa de seguran\u00e7a Aryaka, criminosos est\u00e3o utilizando curr\u00edculos falsos hospedados em servi\u00e7os de nuvem confi\u00e1veis<\/strong> como ponto inicial para infiltrar malware em computadores de empresas.<\/p>\n\n\n\n

A opera\u00e7\u00e3o envolve diversas etapas e culmina na ativa\u00e7\u00e3o de um m\u00f3dulo malicioso chamado BlackSanta<\/strong>, criado para desativar as defesas do sistema antes de iniciar o roubo de dados sens\u00edveis<\/strong>.<\/p>\n\n\n\n

Por que o alvo \u00e9 o setor de RH<\/h2>\n\n\n\n

Os atacantes escolheram o setor de Recursos Humanos por um motivo estrat\u00e9gico. Profissionais da \u00e1rea frequentemente precisam baixar arquivos enviados por candidatos desconhecidos, muitas vezes sob press\u00e3o de tempo durante processos seletivos.<\/p>\n\n\n\n

Al\u00e9m disso, equipes de RH costumam ter acesso a sistemas internos e a grandes volumes de dados pessoais de funcion\u00e1rios e candidatos. Em diversas empresas, no entanto, esses departamentos n\u00e3o recebem o mesmo n\u00edvel de prote\u00e7\u00e3o de seguran\u00e7a aplicado a \u00e1reas como TI ou financeiro.<\/p>\n\n\n\n

Essa combina\u00e7\u00e3o de acesso privilegiado e menor monitoramento de seguran\u00e7a<\/strong> cria um cen\u00e1rio ideal para explora\u00e7\u00e3o por cibercriminosos.<\/p>\n\n\n\n

O \u201ccurr\u00edculo\u201d que inicia o ataque<\/h2>\n\n\n\n

O golpe come\u00e7a quando a v\u00edtima recebe um link para um suposto curr\u00edculo hospedado em um servi\u00e7o de nuvem confi\u00e1vel. Ao baixar o arquivo, o usu\u00e1rio obt\u00e9m um arquivo ISO<\/strong>, formato que simula um disco virtual e pode ser montado pelo sistema operacional como se fosse um pendrive conectado ao computador.<\/p>\n\n\n\n

Dentro desse disco virtual, a v\u00edtima encontra o que parece ser um documento de curr\u00edculo. Na realidade, trata-se de um arquivo LNK<\/strong>, um tipo de atalho do Windows que pode executar comandos automaticamente quando aberto.<\/p>\n\n\n\n

Ao clicar no arquivo acreditando estar visualizando o curr\u00edculo, o usu\u00e1rio ativa silenciosamente a cadeia de ataque.<\/p>\n\n\n\n

Malware escondido dentro de uma imagem<\/h2>\n\n\n\n

O atalho executa comandos por meio do PowerShell, ferramenta leg\u00edtima de administra\u00e7\u00e3o presente no sistema operacional Microsoft Windows. Como se trata de um recurso nativo, a atividade costuma levantar menos suspeitas.<\/p>\n\n\n\n

Essa t\u00e9cnica \u00e9 conhecida como Living-off-the-Land<\/strong>, estrat\u00e9gia que utiliza ferramentas leg\u00edtimas do pr\u00f3prio sistema para executar ataques.<\/p>\n\n\n\n

Durante esse processo, os comandos extraem o malware escondido dentro de uma imagem atrav\u00e9s de esteganografia<\/strong>, t\u00e9cnica que permite ocultar dados em arquivos aparentemente inocentes. Para sistemas de seguran\u00e7a tradicionais, o arquivo parecia apenas uma fotografia comum.<\/p>\n\n\n\n

Depois de extra\u00eddo, o malware se instala no sistema disfar\u00e7ado como um programa confi\u00e1vel, utilizando inclusive certifica\u00e7\u00e3o digital v\u00e1lida da Microsoft para dificultar a detec\u00e7\u00e3o.<\/p>\n\n\n\n

BlackSanta: o m\u00f3dulo que desativa as defesas<\/h2>\n\n\n\n

A parte mais cr\u00edtica da opera\u00e7\u00e3o \u00e9 o m\u00f3dulo BlackSanta<\/strong>. Antes de executar suas fun\u00e7\u00f5es, o software verifica se est\u00e1 sendo analisado em ambientes controlados utilizados por pesquisadores de seguran\u00e7a. Caso detecte sinais de monitoramento, ele interrompe sua execu\u00e7\u00e3o.<\/p>\n\n\n\n

Quando confirma que est\u00e1 em um sistema real, o malware ativa uma t\u00e9cnica conhecida como BYOVD (Bring Your Own Vulnerable Driver)<\/strong>.<\/p>\n\n\n\n

Drivers s\u00e3o softwares que operam em n\u00edveis extremamente privilegiados do sistema operacional. Para serem executados no Windows, precisam possuir uma assinatura digital v\u00e1lida da Microsoft.<\/p>\n\n\n\n

O BlackSanta aproveita drivers leg\u00edtimos que possuem vulnerabilidades conhecidas<\/strong>. Como a assinatura digital \u00e9 v\u00e1lida, o sistema operacional permite sua execu\u00e7\u00e3o normalmente. A partir da\u00ed, o malware explora essas falhas para obter controle profundo sobre o computador.<\/p>\n\n\n\n

Com esse acesso, o m\u00f3dulo consegue:<\/p>\n\n\n\n

    \n
  • Encerrar processos de antiv\u00edrus<\/li>\n\n\n\n
  • Desativar agentes de EDR (Endpoint Detection and Response)<\/li>\n\n\n\n
  • Ocultar registros de atividade do sistema<\/li>\n\n\n\n
  • Remover a visibilidade dos consoles de seguran\u00e7a<\/li>\n<\/ul>\n\n\n\n

    Na pr\u00e1tica, as defesas da m\u00e1quina s\u00e3o neutralizadas de dentro para fora<\/strong>, usando componentes que o pr\u00f3prio sistema considera leg\u00edtimos.<\/p>\n\n\n\n

    Roubo silencioso de informa\u00e7\u00f5es<\/h2>\n\n\n\n

    Com os mecanismos de prote\u00e7\u00e3o desativados, o malware inicia a coleta de dados armazenados no computador comprometido. Entre as informa\u00e7\u00f5es visadas est\u00e3o credenciais de acesso, dados corporativos e informa\u00e7\u00f5es relacionadas a carteiras de criptomoedas<\/strong>.<\/p>\n\n\n\n

    Esses dados s\u00e3o enviados aos servidores dos atacantes de forma criptografada, reduzindo ainda mais as chances de detec\u00e7\u00e3o.<\/p>\n\n\n\n

    De acordo com a Aryaka, a campanha apresenta caracter\u00edsticas de uma opera\u00e7\u00e3o altamente sofisticada<\/strong>, conduzida por atacantes com conhecimento t\u00e9cnico avan\u00e7ado. O relat\u00f3rio alerta que o setor de recursos humanos continua sendo uma porta de entrada pouco protegida em muitas organiza\u00e7\u00f5es<\/strong>, tornando-se um alvo cada vez mais explorado em ataques modernos.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Uma nova campanha de ciberataques est\u00e1 explorando processos comuns de recrutamento para comprometer redes corporativas. Segundo um relat\u00f3rio divulgado pela […]<\/p>\n","protected":false},"author":1,"featured_media":120,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-119","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/119","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=119"}],"version-history":[{"count":1,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/119\/revisions"}],"predecessor-version":[{"id":121,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/119\/revisions\/121"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media\/120"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=119"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=119"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=119"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}