Một chiến dịch tấn công mới đang nhắm trực tiếp vào bộ phận nhân sự (HR) của doanh nghiệp thông qua mã độc có tên BlackSanta. Chiến dịch này khai thác các hành vi quen thuộc trong quy trình tuyển dụng, kết hợp kỹ thuật social engineering với nhiều lớp kỹ thuật né tránh để xâm nhập vào hệ thống nội bộ.
Cuộc tấn công bắt đầu bằng một file hồ sơ ứng tuyển được lưu trữ trên nền tảng cloud quen thuộc. Tệp này thực chất là một ISO chứa shortcut (LNK) độc hại. Khi được mở, shortcut sẽ thực thi các lệnh PowerShell đã được làm rối, giải nén payload ẩn trong hình ảnh bằng kỹ thuật steganography, sau đó sử dụng DLL sideloading để chạy mã độc dưới vỏ bọc phần mềm hợp lệ.
Trước khi kích hoạt toàn bộ payload, malware sẽ tiến hành kiểm tra môi trường để đảm bảo nó không đang chạy trong sandbox hoặc môi trường phân tích. Nó tìm kiếm các dấu hiệu như hostname, username hay các công cụ debug. Nếu phát hiện dấu hiệu phân tích, mã độc sẽ dừng hoạt động; nếu không, nó sẽ tiếp tục triển khai các payload bổ sung và bắt đầu vô hiệu hóa các cơ chế phòng thủ.
Thành phần nguy hiểm nhất của chiến dịch là module BlackSanta, được thiết kế chuyên để vô hiệu hóa các hệ thống bảo mật. Malware này sử dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) để nạp các driver kernel có lỗ hổng, từ đó giành quyền truy cập ở mức thấp trong hệ điều hành. Khi đã có quyền này, BlackSanta có thể lần lượt tắt phần mềm antivirus, vô hiệu hóa các agent EDR và làm suy yếu cơ chế bảo vệ của Microsoft Defender.
Ngoài ra, mã độc còn vô hiệu hóa logging hệ thống và che giấu hoạt động khỏi các bảng điều khiển giám sát bảo mật, khiến quá trình đánh cắp dữ liệu có thể diễn ra mà không bị phát hiện.
