Cybersicherheitsforscher deckten eine hochkomplexe Schadsoftware-Kampagne auf, die gezielt Personalabteilungen angreift. Die als „BlackSanta“ bezeichnete Malware deaktiviert Antivirenprogramme und EDR-Systeme vollständig. Mutmaßlich russischsprachige Angreifer nutzen raffinierte Social-Engineering-Taktiken und haben die Kampagne bereits über ein Jahr unbemerkt betrieben.
Da Hacker gezielt menschliche Schwachstellen in Abteilungen wie dem HR-Bereich ausnutzen, ist ein technischer Schutz allein oft nicht ausreichend. Dieser Experten-Guide zeigt in 4 Schritten, wie Sie Ihr Unternehmen effektiv vor Phishing-Angriffen und modernen Hacker-Methoden schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Warum Recruiter das perfekte Ziel sind
Für Cyberkriminelle sind Personalabteilungen ein attraktives Einfallstor. Der Empfang von Bewerbungsunterlagen unbekannter Absender gehört zu ihrem Alltag. Die BlackSanta-Hintermänner nutzen diese betriebliche Notwendigkeit gezielt aus.
Ihre Waffe: präzises Spear-Phishing. Mitarbeiter erhalten E-Mails mit scheinbar harmlosen Bewerbungsunterlagen, die auf Cloud-Speicher wie Dropbox verweisen. Der Download führt jedoch nicht zu einem PDF, sondern zu einer ISO-Datei.
Diese digitalen Abbilder von CDs finden im Recruiting-Alltag kaum legitime Anwendung. Bindet ein Personaler die Datei ein, erscheint sie wie ein lokales Laufwerk mit vermeintlichen Bewerbungsdokumenten. Die Hemmschwelle zum Öffnen sinkt drastisch – genau das berechnet der Angriff.
Vom Lebenslauf zum Systemausfall
Interagiert das Opfer mit dem gefälschten Lebenslauf, startet eine mehrstufige Infektionskette. Die ISO-Dateien enthalten eine manipuliert Windows-Verknüpfung, die wie ein PDF aussieht. Ein Klick startet versteckte PowerShell-Befehle.
Diese laden weitere Schadkomponenten, die in Bilddateien versteckt sind. Zur Verschleierung nutzen die Angreifer DLL-Sideloading: Sie missbrauchen eine legitime, signierte Anwendung, um bösartigen Code zu laden. Herkömmliche Sicherheitsprogramme erkennen den Vorgang kaum, da er von vertrauenswürdiger Software auszugehen scheint.
Bevor BlackSanta aktiv wird, prüft der Code die Systemumgebung. Er sucht nach Sandboxen, virtuellen Maschinen oder Debugging-Tools von Sicherheitsforschern. Wird er fündig, bricht er ab. Eine weitere Kontrolle betrifft die Systemsprache: Steht sie auf Russisch oder eine GUS-Sprache, beendet sich die Malware selbst. Ein starkes Indiz für Urheber aus dem russischsprachigen Raum.
So deaktiviert BlackSanta jede Sicherheitssoftware
Der Kern der Bedrohung ist der spezialisierte „EDR-Killer“. Auf einem ungeschützten System greift er tief in die Betriebssystem-Architektur ein. Die Methode: „Bring Your Own Vulnerable Driver“ (BYOVD).
Die Schadsoftware bringt legitime, aber anfällige Kernel-Treiber mit. Das System stuft ihre Signaturen als vertrauenswürdig ein und gewährt tiefgreifende Rechte. Mit diesen Rechten beginnt BlackSanta, die Verteidigung systematisch abzuschalten.
Die Software beendet Antiviren-Prozesse, deaktiviert EDR-Agenten und schwächt Microsoft Defender, indem sie Ausnahmeregeln in die Windows-Registrierung schreibt. Systemprotokolle und Benachrichtigungen unterdrückt sie ebenfalls. Der Vergleich liegt nahe: Einbrecher schalten erst Wachpersonal und Alarmanlagen aus, bevor sie stehlen.
Angesichts immer professionellerer Angriffe stehen Geschäftsführer und IT-Verantwortliche vor der Herausforderung, ihre Infrastruktur ohne explodierende Kosten abzusichern. Erfahren Sie in diesem kostenlosen Report, wie mittelständische Unternehmen ihre IT-Sicherheit mit effektiven Strategien proaktiv stärken können. Kostenlosen Cyber-Security-Report jetzt herunterladen
Unsichtbarer Datendiebstahl mit fatalen Folgen
Nach der Neutralisierung der Sicherheit beginnt die finale Phase: ungestörtes Ausspähen und Stehlen von Daten. Die Malware sammelt Zugangsdaten, erkundet die Netzwerktopologie und sucht nach sensiblen Unternehmensinformationen. Ein besonderes Interesse gilt Artefakten im Zusammenhang mit Kryptowährungen.
Die erbeuteten Daten fließen über verschlüsselte HTTPS-Verbindungen zu den Servern der Angreifer. Da die Überwachungstools deaktiviert sind, bleibt dieser Abfluss unsichtbar. Dass die Kampagne bereits ein Jahr unbemerkt operierte, unterstreicht die Effektivität dieser Taktik.
Die Konsequenzen für betroffene Unternehmen sind immens. Der Verlust administrativer Zugangsdaten ermöglicht Angreifern, sich im gesamten Netzwerk auszubreiten. Das kann zu massiven Datenschutzverletzungen, Ransomware-Angriffen oder dem Verlust von geistigem Eigentum führen. Da der Angriff über Bewerbungen läuft, sind Unternehmen aller Branchen gefährdet.
Wie können sich Firmen schützen?
Die Entdeckung von BlackSanta zeigt: Cyberkriminelle verfeinerne ihre Taktiken ständig und hebeln fortschrittliche Sicherheitslösungen aus. Angriffe, die Geschäftsprozesse wie Recruiting missbrauchen, werden weiter zunehmen. Die zugrundeliegende Technologie ließe sich problemlos auf andere Unternehmensbereiche anpassen.
Organisationen müssen traditionelle Sicherheitskonzepte überdenken. Eine grundlegende Maßnahme: ISO-Dateien am E-Mail-Gateway konsequent blockieren, da sie für Bewerbungen keinen legitimen Nutzen haben. Die Implementierung von Zero-Trust-Architekturen gewinnt an Bedeutung, bei denen Systemprozessen nicht blind vertraut wird – auch nicht mit gültigen Zertifikaten.
Nur eine Kombination aus technologischen Abwehrmaßnahmen und kontinuierlicher Sensibilisierung der Mitarbeiter, besonders im HR-Bereich, kann derart raffinierte Bedrohungen künftig eindämmen.
