BlackSanta malver koristi HR procese zapošljavanja da zaobiđe EDR zaštitu
Nova kampanja malvera nazvana BlackSanta cilja HR timove kroz lažne biografije kandidata. Napad počinje preuzimanjem ISO fajla sa cloud platforme, koji sadrži LNK prečicu koja pokreće obfuskirane PowerShell komande i učitava zlonamerne payload-e sakrivene u slici. Malver koristi DLL sideloading preko legitimne aplikacije i proverava da li se izvršava u sandbox okruženju pre nego što nastavi infekciju.
Pojašnjenje
BlackSanta koristi tehniku Bring-Your-Own Vulnerable Driver (BYOVD) da dobije kernel privilegije i isključi antivirus, EDR agente i Microsoft Defender. Kampanja pokazuje da poslovni procesi poput HR zapošljavanja mogu postati ulazna tačka za napade koji zaobilaze tradicionalnu zaštitu.
Preporuke
- Ograničiti otvaranje ISO i LNK fajlova koji dolaze kroz biografije ili prijave za posao
- Primeniti kontrole za učitavanje kernel drajvera i pratiti BYOVD aktivnosti
- Uvesti dodatni monitoring za PowerShell i DLL sideloading aktivnosti
- Edukacija HR timova o bezbednom rukovanju dokumentima kandidata