«Чёрный Санта» пришёл за вашим кадровиком. Хакеры нашли способ ломать EDR через обычный PDF
NewsMakerЛюбое письмо на почте может парализовать работу вашей компании.
Киберпреступная кампания, направленная против отделов кадров, более года оставалась незамеченной и использовала вредоносное ПО с модулем для отключения защитных систем. Специалисты компании Aryaka обнаружили новую программу под названием «BlackSanta», которая подавляет средства обнаружения угроз на компьютере и помогает атакующим закрепиться в системе.
По данным команды Aryaka, злоумышленники применяют комбинацию социальной инженерии и скрытых техник обхода защиты. Атака, вероятно, начинается с целевых фишинговых писем, адресованных сотрудникам HR-подразделений. Получателям предлагают скачать файл-образ ISO, замаскированный под резюме кандидата и размещённый в облачных хранилищах вроде Dropbox.
Анализ одного из таких образов показал внутри четыре файла. Среди них находился ярлык Windows с расширением .LNK, замаскированный под PDF-документ. После запуска ярлык активирует PowerShell-скрипт . Скрипт извлекает зашифрованные данные из изображения при помощи стеганографии и выполняет полученный код прямо в памяти системы.
Затем вредоносная цепочка загружает архив ZIP. Внутри размещены легитимная программа просмотра документов SumatraPDF и вредоносная библиотека DWrite.dll. Последняя запускается через подмену библиотек , что позволяет скрыть вредоносную активность под видом обычного приложения.
Киберпреступная кампания, направленная против отделов кадров, более года оставалась незамеченной и использовала вредоносное ПО с модулем для отключения защитных систем. Специалисты компании Aryaka обнаружили новую программу под названием «BlackSanta», которая подавляет средства обнаружения угроз на компьютере и помогает атакующим закрепиться в системе.
По данным команды Aryaka, злоумышленники применяют комбинацию социальной инженерии и скрытых техник обхода защиты. Атака, вероятно, начинается с целевых фишинговых писем, адресованных сотрудникам HR-подразделений. Получателям предлагают скачать файл-образ ISO, замаскированный под резюме кандидата и размещённый в облачных хранилищах вроде Dropbox.
Анализ одного из таких образов показал внутри четыре файла. Среди них находился ярлык Windows с расширением .LNK, замаскированный под PDF-документ. После запуска ярлык активирует PowerShell-скрипт . Скрипт извлекает зашифрованные данные из изображения при помощи стеганографии и выполняет полученный код прямо в памяти системы.
Затем вредоносная цепочка загружает архив ZIP. Внутри размещены легитимная программа просмотра документов SumatraPDF и вредоносная библиотека DWrite.dll. Последняя запускается через подмену библиотек , что позволяет скрыть вредоносную активность под видом обычного приложения.