Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Malware „BlackSanta“ ги оневозможува EDR и антивирусите пред да го активира својот payload

Објавено: 12.03.2026

Тековна кампања, која најверојатно потекнува од рускоговоречки threat actor, користи социјален инженеринг за да ги измами жртвите да преземат ISO датотека од cloud storage сервиси како Dropbox.

Откако ISO датотеката ќе се монтира, таа изгледа како легитимен дел од системот и може директно да се отвори од страна на жртвата. Отворањето на датотека во неа активира ланец на инфекции што презема повеќе малвери, вклучувајќи модул кој компанијата Aryaka го нарекла BlackSanta.

BlackSanta, специјална компонента базирана на BYOVD (Bring Your Own Vulnerable Driver), ги оневозможува антивирусните и EDR заштитите на kernel ниво, со што го расчистува патот за кражба на креденцијали, извидување на системот и на крај екфилтрација на податоци со минимален отпор,“ предупредува Aditya Sood, потпретседател за безбедносно инженерство и AI стратегија во Aryaka.

Извештајот на Aryaka објаснува дека кампањата ја таргетира релативно доверливата и послабо обезбедена работна процедура при HR вработувања. (Сепак, нема многу што би го спречило напаѓачот да ги прилагоди компонентите на нападот и за други кампањи.)

Причината што е избран HR секторот е тоа што HR вработените се навикнати редовно да отвораат прилози. Очигледното резиме (CV) што се наоѓа во ISO датотеката изгледа легитимно и како веќе да се наоѓа на системот.

Компанијата Aryaka нема директен доказ како жртвата била убедена да ја преземе злонамерната ISO датотека, но претпоставува дека станува збор за spear-phishing напад. Ако метата е лице од HR секторот, тоа лице не би се изненадило да најде резиме за работа во монтираната ISO датотека – и со поголема веројатност би го отворило.

Извештајот на Aryaka содржи примерок од ISO датотеката и детално објаснува како таа го испорачува малверот.

BlackSanta е малвер модул кој ги оневозможува EDR и антивирусните (AV) системи пред да ја активира финалната фаза на нападот.

Во анализираниот примерок, ISO датотеката содржи четири навидум безопасни датотеки. Безбедносен аналитичар можеби веднаш би се посомневал во PDF датотека од само 3KB и присуството на PowerShell скрипта, но вработен во HR одделот можеби едноставно не би го забележал тоа.

PDF датотеката всушност е линк датотека што го стартува cmd.com.
„Таа извршува обфусцирана команда која динамички конструира и стартува powershell.exe со скриен прозорец и со овозможено заобиколување на execution policy,“ се наведува во извештајот. На крајот се извршува script.ps1 од монтираната ISO датотека.

Скриптата ја копира PNG датотеката на друга локација, ја вчитува и извлекува скриени податоци од сликата користејќи Least Significant Bit Steganography (LSB).
Овие податоци се декодираат во UTF-8 текст, кој претставува PowerShell код и се извршува директно во меморија со Invoke-Expression.

Новата скрипта потоа презема SumatraPDF.zip од надворешен домен и го извлекува во привремена папка. ZIP датотеката содржи:

  • SumatraPDF.exe
  • DWrite.dll

Скриптата го стартува EXE-то, кое ја вчитува DLL библиотеката (модифицирана верзија на легитимната DLL) која системот ја прифаќа како оригинална.

Откако DLL-та ќе се side-load-ира, таа собира основни информации за системот и корисникот читајќи ги environment променливите:

  • USERNAME
  • COMPUTERNAME

Заедно тие создаваат единствен „fingerprint“ на системот, што му дава контекст на напаѓачот за жртвата.

Понатамошните payload-и се испорачуваат од C2 серверот. Малверот прво ја подготвува околината:

  • се исклучува ако детектира руски или CIS регион/јазик
  • се исклучува ако открие debugger
  • создава шум и одложувања ако детектира sandbox
  • ги модифицира registry клучевите на Windows Defender

Потоа го вчитува BlackSanta, чие име е пронајдено во самиот код. Компанијата Aryaka го опишува како специјална компонента базирана на BYOVD (Bring Your Own Vulnerable Driver).

„BlackSanta ги пребарува активните процеси и го споредува секое име со вграден список на антивирусни и EDR процеси. Кога ќе најде совпаѓање, го зема ID-то на процесот и преку вчитаните драјвери го отклучува и го прекинува процесот на kernel ниво, заобиколувајќи ги стандардните заштити,“ наведува Aryaka.

Според Aditya Sood, ова е најалармантниот дел од кампањата.

„Тој ги оневозможува антивирусните и EDR заштитите на kernel ниво, расчистувајќи го патот за кражба на креденцијали, извидување на системот и екфилтрација на податоци со минимален отпор,“ вели Sood.

Aryaka пронашла докази дека кампањата е активна речиси една година, главно незабележано, собирајќи податоци и артефакти поврзани со криптовалути.

„Ова не е опортунистички малвер,“ додава Sood.
„Ова е оперативно дисциплинирано инженерство на упади. Операцијата покажува зрел напаѓач кој умешно комбинира социјален инженеринг, living-off-the-land техники, стеганографија и злоупотреба на kernel ниво за да постигне скриена перзистенција и кражба на креденцијали.“

Извори:

  • SecurityWeek – ‘BlackSanta’ Malware Activates EDR and AV Killer Before Detonating Payload SecurityWeek