Sicherheitsforscher von Aryaka haben eine ausgefeilte Malware-Kampagne aufgedeckt, die HR-Mitarbeiter ins Visier nimmt. Die Angreifer nutzen Social Engineering, um Opfer dazu zu bringen, scheinbar harmlose ISO-Dateien von Cloud-Speicherdiensten wie Dropbox herunterzuladen.
Sobald die ISO-Datei eingebunden wird, erscheint sie als legitimer Systembestandteil. Enthält ist typischerweise ein vermeintlicher Lebenslauf – eine perfekte Lockvogel für HR-Personal, das regelmäßig Bewerbungen öffnet. Die ISO enthält vier scheinbar harmlose Dateien: ein winziges PDF (3 KB), eine PowerShell-Skript und weitere Dateien.
Das Zusammenspiel ist perfide: Das PDF ist tatsächlich eine Link-Datei, die cmd.com aufruft. Ein verdeckter PowerShell-Befehl mit deaktivierter Ausführungsrichtlinie wird ausgeführt und startet das versteckte Skript script.ps1.
Dieses Skript kopiert eine PNG-Datei und extrahiert mit Hilfe von LSB-Steganografie versteckte Daten, die dann in PowerShell dekodiert und ausgeführt werden. Die nächste Stufe lädt SumatraPDF.zip herunter, enthält aber eine manipulierte DLL-Datei (DWrite.dll), die als legitim erkannt wird. Durch DLL-Sideloading wird Zugriff auf das System gewonnen.
Dann kommt BlackSanta ins Spiel – der eigentliche Kern der Attacke. Diese Komponente nutzt das BYOVD-Prinzip (Bring Your Own Vulnerable Driver) und scannt alle laufenden Prozesse. Bei Erkennung von Antivirus- oder EDR-Software vergleicht sie diese gegen eine Hardcoded-Liste, ermittelt die Prozess-ID und terminiert die Schutzprozesse auf Kernel-Ebene. Standard-Schutzmaßnahmen werden damit umgangen.
“BlackSanta deaktiviert Antivirus- und EDR-Schutz auf Kernel-Ebene und ebnet damit den Weg für Credential Harvesting, Systemaufklärung und Datenabfluss mit minimalem Widerstand”, warnt Aditya Sood, VP Security Engineering bei Aryaka.
Vor der Injektion prüft die Malware die Umgebung: Sie beendet sich selbst, falls eine russische oder CIS-Sprache erkannt wird, detektiert Debugger und Sandboxen und modifiziert Windows-Defender-Registry-Einträge.
Aryaka hat Belege gefunden, dass diese Kampagne bereits etwa ein Jahr aktiv ist und dabei Daten sowie Kryptowährungs-Artefakte sammelt. “Dies ist keine opportunistische Malware”, betont Sood. “Es ist operativ disziplinierte Intrusionsengineering. Diese Operation offenbart einen reifen Gegner, der Social Engineering, Living-off-the-Land-Techniken, Steganografie und Kernel-Level-Missbrauch meisterhaft kombiniert, um stille Persistenz und Credential-Diebstahl zu erreichen.”
Die Kampagne demonstriert ein hohes Maß an Raffinesse und zeigt, wie gezielt Angreifer vermeintlich vertrauenswürdige HR-Prozesse ausnutzen können.