São Paulo — InkDesign News — Um grupo de ciberataques sofisticados vem atingindo profissionais de Recursos Humanos (RH), em especial recrutadores, por meio de campanhas de spear-phishing que exploram a necessidade desses funcionários de abrir anexos provenientes de fontes externas, fazendo uso de backdoors complexos para infiltração.
Vetor de ataque
O grupo identificado como “Venom Spider” utiliza e-mails cuidadosamente direcionados a responsáveis por processos de contratação, como recrutadores e gerentes de RH. As mensagens de spear-phishing contêm links que direcionam para sites externos com caixas captcha, que servem para burlar mecanismos automáticos de detecção. Após passar pelo captcha, a vítima baixa um arquivo ZIP que, supostamente, conteria o currículo do candidato, mas na verdade carrega um arquivo imagem “g.jpg” que serve de distração e um arquivo malicioso do tipo Windows shortcut (.Lnk).
Esse arquivo .Lnk inicial baixa um script em lote (.bat) que, ao ser executado, abre o WordPad para enganar o usuário enquanto executa o legítimo processo Windows “ie4uinit.exe”, utilizado para rodar comandos JavaScript de forma oculta. Este processo cria a biblioteca executável maliciosa denominada “More_eggs_Dropper”, que utiliza código ofuscado e técnicas de polimorfismo para geração dinâmica e retardamento de execução, dificultando a análise e detecção em ambientes de sandbox.
O “More_eggs_Dropper” cria múltiplos payloads, incluindo um launcher JavaScript e arquivos XML que executam código malicioso via o utilitário “msxsl.exe”, culminando na instalação do backdoor principal “More_eggs”. Essa ferramenta coleta informações do sistema infectado e mantém comunicação com servidores de comando e controle (C2), possibilitando a execução de comandos adicionais e instalação de outras cargas maliciosas.
Impacto e resposta
O Venom Spider vem operando desde pelo menos 2018, com campanhas frequentes que utilizam cadastros falsos em plataformas de emprego e envio de arquivos maliciosos via LinkedIn e e-mails personalizados para setores de RH. A exploração da rotina de recrutadores, cujo trabalho exige a abertura frequente de anexos, torna essa categoria especialmente vulnerável a esses ataques.
“Os recrutadores e gerentes de contratação que atuam em departamentos de RH são frequentemente considerados o ponto fraco de uma organização pelos atacantes, pois a própria natureza de seu trabalho exige que abram regularmente anexos de e-mails (ex.: currículos e cartas de apresentação) enviados por fontes externas desconhecidas, incluindo candidatos e agências de contratação.”
(“The recruiters and hiring managers who work in HR departments are often considered to be the weak point in an organization by attackers, as the very nature of their job means that they must regularly open email attachments (e.g.: resumes and cover letters) emailed to them from external and unknown sources, including job candidates and hiring agencies.”)— Arctic Wolf Labs
Análise e recomendações
Especialistas recomendam treinamentos regulares para identificar e mitigar riscos de spear-phishing, com foco especial em setores vulneráveis como RH. Deve-se destacar a cautela ao abrir arquivos com extensões .LNK, .ISO e .VBS, que frequentemente são usados para burlar filtros ao serem enviados comprimidos em arquivos ZIP. Inspecionar os arquivos antes da abertura, verificando suas propriedades pelo sistema operacional, é uma prática defensiva sugerida.
“Funcionários que atuam em departamentos vulneráveis como RH e Recrutamento devem receber treinamentos adicionais que os ensinem a estar sempre atentos a anexos que sejam arquivos LNK, ISO ou VBS.”
(“Employees who work in vulnerable departments such as HR and Recruitment should receive additional training that teaches them to always be extra-wary of attachments that are LNK, ISO, or VBS files.”)— Arctic Wolf Labs
A complexidade do ataque reforça a necessidade de monitoramento contínuo e atualização das soluções de segurança, já que o agente ameaça emprega técnicas para evadir análise e evolui constantemente sua infraestrutura. A crescente pressão sobre equipes de RH no atual mercado de trabalho pode facilitar o sucesso dessas campanhas, ampliando seu risco para as organizações.
Com a continuidade dessas atividades, é fundamental que as empresas intensifiquem a capacitação dos colaboradores e implementem controles avançados para detecção precoce e resposta a incidentes, reduzindo as chances de compromissos graves na cadeia de recrutamento.
Para mais conteúdo e atualizações sobre ameaças, acesse /tag/ciberseguranca/ ou /tag/ameaças/.
Fonte: (Dark Reading – Segurança Cibernética)
