BlackSanta malver gasi EDR i antivirus pre krađe podataka
Nova kampanja malvera koristi socijalni inženjering kako bi zaposlene, posebno u HR odeljenjima, navela da preuzmu ISO fajl koji izgleda kao biografija kandidata. Nakon otvaranja, pokreće se lanac PowerShell skripti i DLL sideloading tehnika koji na kraju učitavaju modul BlackSanta. Ovaj modul koristi BYOVD tehniku da na kernel nivou ugasi antivirus i EDR procese, čime otvara put za krađu kredencijala, izviđanje sistema i eksfiltraciju podataka.
Pojašnjenje
Kampanja pokazuje sve češću upotrebu BYOVD tehnike za neutralisanje bezbednosnih alata pre pokretanja glavnog malvera. Kombinacija socijalnog inženjeringa, steganografije i kernel pristupa omogućava napadačima dugotrajno neprimećeno prisustvo u mreži.
Preporuke
- Ograničiti automatsko montiranje i otvaranje ISO fajlova iz email priloga ili cloud linkova
- Pratiti učitavanje drajvera i potencijalne BYOVD aktivnosti
- Monitorisati PowerShell i DLL sideloading ponašanje u endpoint okruženju
- Edukacija HR i drugih poslovnih timova o rizicima otvaranja dokumenata kandidata