Tag: Malware

Wprowadzenie do problemu / definicja

„Zombie ZIP” to technika obchodzenia mechanizmów bezpieczeństwa, która wykorzystuje zmanipulowane metadane archiwum ZIP do ukrycia złośliwego ładunku przed silnikami antywirusowymi oraz rozwiązaniami EDR. Klucz problemu polega na rozbieżności między informacjami zapisanymi w nagłówkach archiwum a rzeczywistym sposobem zapisania danych wewnątrz pliku.

W praktyce oznacza to, że system bezpieczeństwa może uznać archiwum za niegroźne, uszkodzone lub niemożliwe do poprawnej analizy, podczas gdy atakujący nadal będzie w stanie wydobyć z niego faktyczny payload za pomocą własnego loadera. To nie klasyczny exploit na program do rozpakowywania, lecz przykład nadużycia różnic interpretacyjnych pomiędzy parserami.

W skrócie

Badacze opisali scenariusz, w którym archiwum ZIP deklaruje brak kompresji, choć jego zawartość została faktycznie zapisana jako strumień skompresowany algorytmem Deflate. Taka niespójność może sprawić, że część silników AV i EDR analizuje niewłaściwe dane, co prowadzi do fałszywie negatywnych wyników detekcji.

Sprawa została powiązana z identyfikatorem CVE-2026-0866, a CERT/CC opublikował ostrzeżenie dotyczące ryzyka błędnego skanowania zmanipulowanych archiwów ZIP. Standardowe narzędzia do rozpakowywania często zgłaszają błędy integralności lub problemy z obsługą archiwum, jednak dedykowany loader może mimo to skutecznie odzyskać ukryty ładunek.

Kontekst / historia

Ukrywanie złośliwych treści w kontenerach i archiwach od lat stanowi stały element arsenału operatorów malware. W kampaniach wykorzystywano już między innymi obrazy ISO, archiwa CAB, techniki HTML smuggling oraz niestandardowo zbudowane kontenery plików, aby ominąć kontrolę bram pocztowych, sandboxów i ochrony endpointów.

„Zombie ZIP” wpisuje się w ten sam nurt. Nie atakuje użytkownika poprzez lukę w aplikacji do otwierania archiwum, lecz wykorzystuje fakt, że różne narzędzia mogą odmiennie interpretować ten sam plik. Jeżeli parser bezpieczeństwa ufa nagłówkom, a narzędzie napastnika ignoruje błędne deklaracje i przetwarza dane zgodnie z ich faktyczną strukturą, powstaje luka operacyjna pozwalająca ukryć malware.

Istotny jest też kontekst historyczny. CERT/CC wskazuje podobieństwo do starszych problemów związanych z obsługą zmanipulowanych archiwów ZIP, w tym do wcześniejszych przypadków błędnej walidacji takich struktur. Nowa technika stanowi więc rozwinięcie znanego od lat problemu zaufania do metadanych bez pełnej weryfikacji rzeczywistej zawartości pliku.

Analiza techniczna

Rdzeń techniki opiera się na manipulacji polem Compression Method w nagłówku ZIP. W poprawnym archiwum wartość tego pola powinna odpowiadać metodzie użytej do zapisania danych. W przypadku „Zombie ZIP” archiwum deklaruje metodę 0, czyli STORED, co oznacza brak kompresji, mimo że właściwe dane pozostają skompresowane przy użyciu Deflate.

Dla części silników skanujących to wystarcza, aby potraktować zawartość jako dane nieskompresowane. W efekcie skaner analizuje surowy, skompresowany strumień zamiast rzeczywistego payloadu. Jeżeli mechanizmy wykrywania opierają się na sygnaturach, heurystyce lub emulacji zależnej od poprawnego rozpakowania archiwum, wynik analizy może okazać się błędny.

Dodatkowym elementem jest ustawienie wartości CRC-32 w sposób zgodny z nieskompresowanym ładunkiem. Popularne narzędzia do ekstrakcji mogą wtedy zgłaszać błąd CRC, uszkodzenie danych albo nieobsługiwaną metodę kompresji. Dla użytkownika lub analityka taki plik może wyglądać po prostu na uszkodzone archiwum, choć w rzeczywistości zawiera on poprawny, możliwy do odzyskania payload.

Atakujący nie musi korzystać ze standardowego programu do rozpakowywania. Wystarczy prosty loader, który zignoruje deklarację z nagłówka i bezpośrednio zdekompresuje osadzony strumień Deflate. To właśnie rozjazd między interpretacją obrońcy a interpretacją napastnika czyni tę technikę skuteczną.

Z perspektywy technicznej mamy tu do czynienia z desynchronizacją parserów. Silnik bezpieczeństwa i narzędzie atakującego przetwarzają ten sam plik według innych reguł. W łańcuchu dostarczenia malware takie archiwum może przejść przez skaner pocztowy, ochronę plików, sandbox lub EDR jako obiekt czysty albo jedynie uszkodzony, a dopiero później zostać rozpakowane przez kolejny komponent ataku.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem „Zombie ZIP” jest ryzyko fałszywie negatywnych wyników skanowania. Organizacja może otrzymać informację, że plik nie zawiera złośliwego kodu, mimo że payload pozostaje obecny i możliwy do odzyskania. Taki scenariusz osłabia zaufanie do warstw ochronnych opartych na analizie archiwów i kontenerów.

Ryzyko jest szczególnie wysokie w środowiskach, gdzie archiwa ZIP są standardowym nośnikiem dokumentów, logów, aktualizacji, paczek instalacyjnych czy załączników e-mail. Technika może zostać wykorzystana w kampaniach phishingowych, wieloetapowych infekcjach malware oraz w scenariuszach omijania inspekcji na styku poczty, proxy i ochrony endpointów.

Problem dotyczy również zespołów SOC i IR. Artefakty oznaczone jako „uszkodzone” mogą zostać błędnie sklasyfikowane jako niegroźne lub niskopriorytetowe. To z kolei zwiększa ryzyko przeoczenia istotnego etapu ataku, zwłaszcza jeśli organizacja opiera się na pojedynczym silniku skanującym lub ograniczonym parserze archiwów.

Skala zagrożenia zależy od architektury zabezpieczeń. W środowiskach stosujących wielowarstwową analizę, walidację formatów, sandboxing oraz politykę blokowania nietypowych archiwów wpływ może zostać ograniczony. Mimo to „Zombie ZIP” stanowi ważny sygnał ostrzegawczy dla producentów zabezpieczeń i zespołów odpowiedzialnych za bezpieczne przetwarzanie plików.

Rekomendacje

Organizacje powinny traktować archiwa ZIP z anomaliami strukturalnymi jako obiekty podejrzane, a nie jedynie uszkodzone. Komunikaty o błędzie CRC, niezgodności metody kompresji lub nieobsługiwanym formacie nie powinny automatycznie kończyć analizy incydentu. Takie pliki warto kierować do pogłębionej inspekcji w kontrolowanym środowisku.

Po stronie producentów i integratorów bezpieczeństwa kluczowe jest ograniczenie zaufania do pól nagłówkowych ZIP. Silniki skanujące powinny sprawdzać spójność deklarowanej metody kompresji z rzeczywistą strukturą danych, wykrywać niespójności metadanych oraz stosować bardziej rygorystyczne tryby inspekcji kontenerów.

• blokowanie lub kierowanie do kwarantanny archiwów ZIP z anomaliami strukturalnymi,
• rozszerzenie reguł detekcji o zdarzenia związane z błędami ekstrakcji archiwów,
• monitorowanie procesów, które programowo odczytują i dekompresują dane z pozornie uszkodzonych plików,
• testowanie narzędzi bezpieczeństwa na niestandardowych oraz celowo błędnych archiwach,
• aktualizację procedur triage w SOC, aby status „corrupted archive” nie oznaczał automatycznie „brak zagrożenia”,
• stosowanie normalizacji plików lub wielu parserów podczas analizy kontenerów.

Użytkownicy końcowi również powinni zachować ostrożność. Archiwum otrzymane od nieznanego nadawcy, które nie daje się poprawnie rozpakować, nie powinno być otwierane alternatywnymi narzędziami ani poddawane samodzielnym próbom odzyskiwania danych. W środowisku firmowym taki plik należy przekazać do zespołu bezpieczeństwa.

Podsumowanie

„Zombie ZIP” pokazuje, że skuteczność analizy plików nadal zależy od poprawnej interpretacji formatów i pełnej walidacji metadanych. Atak nie wymaga klasycznego exploita, lecz wykorzystuje różnice między sposobem, w jaki archiwum interpretuje silnik ochronny, a tym, jak robi to narzędzie przygotowane przez napastnika.

Dla branży cyberbezpieczeństwa to kolejny argument za wzmacnianiem parserów, analizą niespójności formatów i traktowaniem uszkodzonych kontenerów jako potencjalnego wektora ataku. Operacyjnie najważniejszy wniosek jest prosty: błędne lub nietypowe archiwum ZIP nie powinno być ignorowane, ponieważ może stanowić świadomie przygotowany nośnik malware.

Źródła

1. BleepingComputer — New 'Zombie ZIP’ technique lets malware slip past security tools — https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/
2. CERT Coordination Center — VU#976247: Antivirus and Endpoint Detection and Response Archive Scanning Engines may not properly scan malformed zip archives — https://kb.cert.org/vuls/id/976247
3. GitHub — Bombadil-Systems/zombie-zip — https://github.com/bombadil-systems/zombie-zip
4. CVE.org — CVE-2026-0866 — https://www.cve.org/CVERecord?id=CVE-2026-0866
5. CERT Coordination Center — VU#968818 — https://kb.cert.org/vuls/id/968818

Wprowadzenie do problemu

Platformy społecznościowe i komunikatory od lat są wykorzystywane przez cyberprzestępców do prowadzenia oszustw finansowych, rekrutacyjnych, inwestycyjnych i romansowych. W ostatnich latach skala tego zjawiska wyraźnie wzrosła, ponieważ działalność przestępcza przybrała formę zorganizowanych, transgranicznych operacji opartych na rozbudowanej infrastrukturze kont, reklam i fałszywych tożsamości.

Najnowsze działania firmy Meta pokazują, że problem nie dotyczy już wyłącznie pojedynczych kampanii phishingowych, lecz całych ekosystemów scam center działających przemysłowo i obsługujących duże wolumeny oszustw na wielu rynkach jednocześnie.

W skrócie

Meta poinformowała o usunięciu ponad 150 tys. kont powiązanych z centrami oszustw operującymi w Azji Południowo-Wschodniej. Akcja została przeprowadzona we współpracy z organami ścigania z wielu państw, a działania operacyjne doprowadziły również do aresztowań w Tajlandii.

Równolegle firma zapowiedziała dalsze rozwijanie mechanizmów wykrywania oszustw na Facebooku, Messengerze i WhatsAppie. Według przekazanych danych skala nadużyć pozostaje bardzo duża, co potwierdza usuwanie milionów kont i setek milionów treści oraz reklam powiązanych z fraudem.

Kontekst i historia operacji

Scam center działające w Azji Południowo-Wschodniej od dłuższego czasu są wskazywane jako zaplecze operacyjne dla zorganizowanych kampanii wyłudzeń. Tego typu struktury funkcjonują jak przedsiębiorstwa, z podziałem na role związane z pozyskiwaniem ofiar, prowadzeniem komunikacji, utrzymywaniem infrastruktury oraz monetyzacją oszustw.

Obecna operacja stanowi rozszerzenie wcześniejszych działań egzekucyjnych prowadzonych pod koniec 2025 roku. Wówczas usunięto dziesiątki tysięcy kont, stron i grup, a najnowsza akcja miała znacznie szerszy wymiar międzynarodowy, potwierdzając rosnące znaczenie współpracy pomiędzy platformami technologicznymi a organami ścigania.

Analiza techniczna

Z technicznego punktu widzenia kluczowe znaczenie miało powiązanie rozproszonych elementów aktywności z jedną infrastrukturą przestępczą. Konta wykorzystywane przez scam center zwykle nie działają samodzielnie, lecz tworzą warstwowy system obejmujący profile kontaktujące się z ofiarami, zasoby reklamowe, konta wspierające komunikację oraz elementy służące do obchodzenia mechanizmów moderacji.

W praktyce wykrywanie takich operacji opiera się nie tylko na analizie treści wiadomości, ale również na korelacji metadanych, wzorców zakładania kont, zachowań użytkowników, zależności między urządzeniami oraz relacji pomiędzy reklamami i komunikatorami. To sugeruje wykorzystanie analizy behawioralnej i sygnałów infrastrukturalnych do identyfikacji całych sieci, a nie wyłącznie pojedynczych profili.

Meta zapowiedziała również rozwój nowych zabezpieczeń. Obejmują one ostrzeżenia przy kontaktach z podejrzanymi kontami na Facebooku, rozszerzone alerty w WhatsAppie związane z próbami podpięcia urządzeń za pomocą kodów QR oraz bardziej zaawansowane wykrywanie oszustw w Messengerze, szczególnie w rozmowach inicjowanych przez nieznane profile.

• analiza relacji między kontami i reklamami,
• wykrywanie anomalii behawioralnych,
• monitorowanie prób przejęcia sesji i podpinania urządzeń,
• identyfikacja wzorców charakterystycznych dla oszustw inwestycyjnych, rekrutacyjnych i romansowych.

Konsekwencje i ryzyko

Dla użytkowników końcowych zagrożenie pozostaje wysokie, ponieważ kampanie oszustw są coraz lepiej dopasowane do kontekstu ofiary. Przestępcy wykorzystują zaufanie do znanych platform, personalizację kontaktu, presję czasu oraz elementy manipulacji emocjonalnej.

Skutki mogą obejmować utratę środków finansowych, przejęcie kont, kradzież danych osobowych oraz dalsze nadużycia, takie jak podszywanie się pod ofiarę. Dla organizacji ryzyko dotyczy również kont firmowych, profili reklamowych i komunikatorów wykorzystywanych operacyjnie, które mogą zostać użyte do dalszej dystrybucji oszustw lub ataków na klientów.

Istotne jest również to, że usunięcie dużej liczby kont nie oznacza trwałego wyeliminowania zagrożenia. Grupy przestępcze zwykle szybko odbudowują infrastrukturę, migrują między platformami i modyfikują taktyki, aby utrudnić wykrywanie.

Rekomendacje

Organizacje powinny traktować oszustwa prowadzone przez media społecznościowe i komunikatory jako pełnoprawny element krajobrazu zagrożeń. Ochrona nie może ograniczać się wyłącznie do klasycznego malware, ponieważ coraz więcej incydentów zaczyna się od socjotechniki i nadużyć tożsamości.

• wymuszać silne uwierzytelnianie dla kont administracyjnych i reklamowych,
• ograniczać możliwość podpinania nowych urządzeń bez dodatkowej autoryzacji,
• monitorować nietypowe logowania i zmiany ustawień kont,
• stosować segmentację uprawnień dla zespołów marketingowych i operacyjnych,
• regularnie audytować konta firmowe w mediach społecznościowych,
• szkolić pracowników z rozpoznawania scamów rekrutacyjnych, inwestycyjnych i podszywania się pod partnerów biznesowych.

Użytkownicy indywidualni powinni zachować szczególną ostrożność wobec próśb o skanowanie kodów QR, ofert pracy wymagających szybkiego kontaktu poza standardowym procesem rekrutacji, obietnic wysokich zysków inwestycyjnych oraz wiadomości od nieznanych profili próbujących szybko przenieść rozmowę do obszaru finansowego.

Podsumowanie

Usunięcie ponad 150 tys. kont powiązanych z centrami oszustw w Azji Południowo-Wschodniej pokazuje skalę i stopień organizacji współczesnych operacji scamowych. To także wyraźny sygnał, że walka z tego typu zagrożeniami wymaga stałej współpracy platform technologicznych, organów ścigania oraz samych użytkowników.

Choć skoordynowane działania mogą znacząco ograniczać aktywność przestępczych sieci, nie rozwiązują problemu definitywnie. Kluczowe pozostają ciągła detekcja, szybka wymiana informacji oraz budowanie odporności na zaawansowaną socjotechnikę.

Źródła

1. Meta Disables 150K Accounts Linked to Southeast Asia Scam Centers in Global Crackdown
2. Global Law Enforcement Agencies, With Support From Meta, Disrupt Major Criminal Scam Networks Based in Southeast Asia
3. Fighting Scammers and Protecting People with New Technology and Partnerships
4. New disruption unit launched in crackdown on fraud

Wprowadzenie do problemu / definicja

BlackSanta to moduł malware określany jako EDR-killer, zaprojektowany do osłabiania lub wyłączania zabezpieczeń endpointów po uzyskaniu początkowego dostępu do systemu. W najnowszej kampanii zagrożenie to zostało wykorzystane przeciwko działom HR i rekrutacji, gdzie codzienna praca z dokumentami od nieznanych nadawców tworzy wyjątkowo podatną powierzchnię ataku.

Atakujący wykorzystują zaufany kontekst biznesowy, podszywając się pod kandydatów do pracy i dostarczając pliki wyglądające jak CV, portfolio lub materiały aplikacyjne. To sprawia, że nawet dobrze znane techniki phishingowe zyskują wyższą skuteczność, szczególnie w środowiskach, gdzie szybkość obsługi zgłoszeń jest równie ważna jak bezpieczeństwo.

W skrócie

Kampania opisana w marcu 2026 roku opiera się na spear phishingu wymierzonym w pracowników HR. Po otwarciu złośliwego pliku malware rozpoczyna rekonesans systemu, sprawdza obecność środowisk analitycznych i mechanizmów wirtualizacji, filtruje ofiary według parametrów językowych oraz geograficznych, a następnie uruchamia moduł BlackSanta odpowiedzialny za neutralizowanie ochrony EDR i AV.

• Atak wykorzystuje fałszywe dokumenty rekrutacyjne i CV.
• Malware analizuje środowisko przed wykonaniem kolejnych działań.
• BlackSanta stosuje technikę BYOVD do ingerencji w ochronę endpointów.
• Celem jest utrzymanie dostępu, kradzież danych i pobieranie dalszych ładunków.

Kontekst / historia

Ataki na działy HR od lat należą do najskuteczniejszych form wejścia do organizacji. Powód jest prosty: pracownicy tych zespołów regularnie odbierają wiadomości spoza firmy, pobierają pliki z usług chmurowych i otwierają dokumenty, które z punktu widzenia procesu biznesowego wyglądają całkowicie wiarygodnie.

W przypadku BlackSanta kluczowe znaczenie ma połączenie klasycznej socjotechniki z działaniami post-exploitation. Kampania nie kończy się na dostarczeniu droppera czy prostego infostealera. Jej istotą jest szybkie osłabienie zabezpieczeń endpointu, aby kolejne etapy ataku mogły przebiegać ciszej, skuteczniej i z mniejszą szansą na wykrycie przez zespół bezpieczeństwa.

To pokazuje szerszy trend w krajobrazie zagrożeń: coraz więcej operacji phishingowych nie ogranicza się do kradzieży poświadczeń, lecz od początku zakłada przejęcie hosta, obejście telemetrii i stworzenie warunków do długotrwałej obecności w środowisku ofiary.

Analiza techniczna

Łańcuch infekcji jest wieloetapowy. Punkt wejścia stanowi wiadomość spear phishingowa kierowana do pracownika HR, zwykle zawierająca odnośnik do pliku przechowywanego w chmurze lub załącznik podszywający się pod dokument aplikacyjny. Ofiara pobiera archiwum, obraz dysku lub inny kontener plików, który wygląda jak standardowy materiał rekrutacyjny.

Po uruchomieniu próbki malware rozpoczyna profilowanie hosta. Zbiera informacje o systemie operacyjnym, użytkowniku, konfiguracji urządzenia i aktywnych procesach. Równolegle sprawdza obecność maszyn wirtualnych, sandboxów i narzędzi debugujących, aby utrudnić analizę i uniknąć detonacji w środowiskach laboratoryjnych.

Istotnym elementem kampanii jest także filtrowanie ofiar. Malware weryfikuje ustawienia językowe, cechy lokalnego środowiska oraz inne parametry systemowe przed przejściem do kolejnej fazy. Tego rodzaju logika pozwala operatorom ograniczać wykonanie ładunku do wybranych celów oraz zmniejszać ryzyko ujawnienia narzędzi.

Najgroźniejszym komponentem pozostaje sam BlackSanta. Moduł działa jako EDR-killer i wykorzystuje podejście BYOVD, czyli Bring Your Own Vulnerable Driver. W praktyce oznacza to użycie podatnego sterownika do wykonywania działań z poziomu jądra systemu. Dzięki temu malware może zyskać możliwość ingerowania w procesy bezpieczeństwa z uprawnieniami wyższymi niż standardowe złośliwe oprogramowanie działające w przestrzeni użytkownika.

Takie podejście umożliwia zatrzymywanie procesów antywirusowych, wyłączanie agentów EDR, osłabianie mechanizmów Microsoft Defender, ograniczanie logowania zdarzeń i zmniejszanie widoczności działań napastnika w narzędziach monitorujących. Po zneutralizowaniu ochrony operatorzy mogą pobierać kolejne ładunki, kraść poświadczenia, zbierać dane z systemu i eksfiltrować informacje do infrastruktury dowodzenia i kontroli.

Konsekwencje / ryzyko

Ryzyko związane z kampanią jest wysokie, ponieważ łączy ona skuteczny pretekst biznesowy z zaawansowanym sabotażem zabezpieczeń endpointu. Już samo otwarcie fałszywego dokumentu może doprowadzić do sytuacji, w której standardowe warstwy ochronne przestaną działać wystarczająco wcześnie, by zatrzymać dalsze etapy ataku.

Dla organizacji oznacza to ryzyko utraty danych osobowych kandydatów i pracowników, wycieku poświadczeń oraz przejęcia stacji roboczych wykorzystywanych do obsługi systemów kadrowych, finansowych i usług SaaS. Jeśli skompromitowany host ma szersze uprawnienia lub dostęp do krytycznych aplikacji, incydent może szybko wyjść poza pojedynczy endpoint i przekształcić się w pełnoskalowe naruszenie bezpieczeństwa.

Dodatkowym zagrożeniem jest utrudniona detekcja. Malware zaprojektowane do unikania analizy i wyłączania telemetryki może pozostawać aktywne przez dłuższy czas, zwiększając koszty reagowania, zakres prac forensycznych oraz prawdopodobieństwo wtórnego wykorzystania skradzionych danych.

Rekomendacje

Organizacje powinny traktować działy HR jako obszar podwyższonego ryzyka i objąć je dodatkowymi kontrolami bezpieczeństwa. Ochrona procesów rekrutacyjnych nie może opierać się wyłącznie na standardowych szkoleniach phishingowych, ponieważ charakter pracy tych zespołów wymaga regularnej interakcji z nieznanymi nadawcami i zewnętrznymi plikami.

• Wdrożyć izolację i skanowanie dokumentów rekrutacyjnych pobieranych z zewnętrznych źródeł.
• Rozszerzyć ochronę poczty o sandboxing załączników, analizę reputacji odnośników i dodatkową kontrolę nietypowych formatów plików.
• Ograniczyć uruchamianie nieautoryzowanych binariów oraz wdrożyć application allowlisting.
• Monitorować próby ładowania podatnych sterowników i anomalie związane z usługami bezpieczeństwa.
• Tworzyć reguły detekcyjne dla sekwencji obejmujących pobranie pliku, montowanie obrazu, rekonesans systemowy i próbę wyłączenia ochrony.
• Wymuszać MFA, segmentację dostępu i zasadę najmniejszych uprawnień dla systemów kadrowych i finansowych.
• Prowadzić szkolenia dopasowane do scenariuszy rekrutacyjnych, a nie wyłącznie ogólne kampanie awareness.

Z perspektywy SOC szczególnie istotne jest wychwytywanie sygnałów sabotażu ochrony, takich jak zatrzymywanie usług bezpieczeństwa, modyfikacje ustawień Defendera, nagłe zaniki telemetryki czy nietypowe operacje na sterownikach. Wczesne wykrycie takich zdarzeń może przesądzić o tym, czy incydent zakończy się na jednym hoście, czy rozprzestrzeni się na inne segmenty środowiska.

Podsumowanie

BlackSanta pokazuje, że współczesne kampanie phishingowe stają się coraz bardziej dojrzałe operacyjnie. W tym przypadku celem nie jest jedynie skłonienie użytkownika do otwarcia pliku, lecz szybkie osłabienie zabezpieczeń EDR i AV, aby umożliwić ciche przejęcie hosta, kradzież danych i dalszą ekspansję w środowisku organizacji.

Dla firm jest to wyraźny sygnał, że procesy rekrutacyjne muszą być chronione równie rygorystycznie jak infrastruktura administracyjna i IT. Skuteczna obrona wymaga połączenia filtracji poczty, kontroli aplikacji, monitorowania sterowników, silnej telemetrii endpointów oraz jasno zdefiniowanych procedur bezpieczeństwa dla zespołów HR.

Źródła

1. BlackSanta EDR-Killer Targets HR Teams in CV-Themed Campaign — https://www.infosecurity-magazine.com/news/blacksanta-edr-killer-targets-hr/
2. BlackSanta EDR-Killer: A Silent Malware Campaign Targeting Recruitment Workflows And Neutralizing Endpoint Security — https://www.aryaka.com/reports-and-guides/blacksanta-edr-killer-threat-report/
3. ‘BlackSanta’ Malware Activates EDR and AV Killer Before Detonating Payload — https://www.securityweek.com/blacksanta-malware-activates-edr-and-av-killer-before-detonating-payload/
4. ’BlackSanta’ EDR Killer Targets HR Workflows — https://www.darkreading.com/threat-intelligence/blacksanta-edr-killer-hr-workflows
5. New ‘BlackSanta’ EDR killer spotted targeting HR departments — https://www.bleepingcomputer.com/news/security/new-blacksanta-edr-killer-spotted-targeting-hr-departments/