«Black Santa» va a por tu responsable de recursos humanos: hackers encuentran cómo burlar el EDR con un PDF común
Basta un solo correo para paralizar el funcionamiento de su empresa.
Una campaña de ciberdelincuencia dirigida a departamentos de recursos humanos permaneció sin detectarse durante más de un año y utilizó malware con un módulo para desactivar las defensas. Los especialistas de la empresa Aryaka descubrieron un nuevo programa llamado "BlackSanta", que suprime los mecanismos de detección de amenazas en el equipo y ayuda a los atacantes a afianzarse en el sistema.
Según el equipo de Aryaka, los atacantes emplean una combinación de ingeniería social y técnicas ocultas de evasión. El ataque probablemente comienza con correos de phishing dirigidos a empleados de los departamentos de recursos humanos. A los destinatarios se les pide descargar un archivo de imagen ISO, disfrazado de currículum y alojado en servicios en la nube como Dropbox.
El análisis de una de esas imágenes mostró cuatro archivos en su interior. Entre ellos había un acceso directo de Windows con la extensión .LNK, disfrazado de documento PDF. Al ejecutarlo, el acceso directo activa un script de PowerShell. El script extrae datos cifrados de una imagen mediante esteganografía y ejecuta el código obtenido directamente en la memoria del sistema.
A continuación, la cadena maliciosa descarga un archivo ZIP. En su interior se encuentran el visor de documentos legítimo SumatraPDF y la biblioteca maliciosa DWrite.dll. Esta última se ejecuta mediante suplantación de bibliotecas, lo que permite ocultar la actividad maliciosa bajo la apariencia de una aplicación normal.
Tras la ejecución, el programa recopila información del sistema y envía los datos a un servidor de control. Después, el malware comprueba el entorno en busca de máquinas virtuales, sandboxes y herramientas de depuración. Si detecta tales instrumentos, la ejecución se detiene para evitar el análisis.
El código también debilita la protección integrada de Microsoft Defender, modificando configuraciones de seguridad y realizando pruebas de escritura en disco. A continuación, el sistema recibe módulos adicionales desde el servidor de control. Los componentes se inyectan en procesos legítimos mediante suplantación de memoria.
El archivo ejecutable BlackSanta es un elemento clave de la cadena. El módulo añade excepciones para ciertos tipos de archivos en la configuración de Defender, reduce el nivel de telemetría y desactiva el envío automático de muestras sospechosas a la infraestructura en la nube de Microsoft. El programa también suprime las notificaciones del sistema Windows para ocultar signos de compromiso.
La tarea principal de BlackSanta es desactivar las herramientas de protección. Para ello, el módulo recorre los procesos activos, compara los nombres con una extensa lista integrada de programas antivirus y de análisis, incluidos sistemas EDR, determina sus identificadores y los detiene por la fuerza mediante drivers a nivel de kernel.
Al analizar la infraestructura de red, los especialistas hallaron direcciones IP adicionales relacionadas con la campaña. Según sus datos, la operación estuvo activa durante al menos un año. El malware también descargó drivers legítimos de utilidades — RogueKiller Antirootkit versión 3.1.0 de Adlice Software e IObitUnlocker.sys versión 1.2.0.1 de IObit. Una técnica similar permite al código malicioso obtener privilegios elevados e interferir con la memoria y los procesos del sistema.
Los autores del informe señalan el alto nivel de sigilo de la operación. Los métodos de infección empleados tienen en cuenta el contexto laboral de la víctima y permiten desplegar componentes como BlackSanta de forma discreta, lo que dificulta considerablemente la detección del ataque.