Хакеры атакуют кадровиков через поддельные резюме и отключают антивирусы на уровне ядра Windows

Предположительно русскоязычная группировка рассылает HR-специалистам поддельные резюме с вредоносной начинкой. Исследовательская лаборатория Aryaka опубликовала 10 марта 2026 года отчёт о кампании BlackSanta, в которой злоумышленники используют облачные хранилища (Dropbox и аналоги) для распространения вредоносных файлов. По данным Aryaka, группировка действует более года.

Атака начинается с письма специалисту по подбору персонала. В нём ссылка на облачное хранилище, где лежит ISO-файл (образ диска), замаскированный под резюме. В одной из задокументированных атак файл назывался Celine_Pesant. Жертва подключает образ диска, открывает содержимое, и внутри срабатывает вредоносный ярлык (LNK).

Ярлык запускает скрытые команды PowerShell. Они извлекают вредоносный код из обычной на вид картинки через стеганографию (приём сокрытия данных внутри изображения), и антивирусы не видят угрозы в графическом файле. Далее загружается вредоносная DLL-библиотека через подмену в штатном подписанном приложении (DLL sideloading).

Перед активацией вредоносная программа тщательно проверяет среду. Изучает имя компьютера, региональные настройки, ищет признаки виртуализации и отладочных инструментов. Если обнаруживает песочницу (защищённую тестовую среду ИБ-аналитиков), остаётся неактивной.

Самый заметный компонент кампании называется BlackSanta. Он отключает антивирусы и системы защиты рабочих станций EDR (Endpoint Detection and Response, инструменты обнаружения и реагирования на угрозы) на уровне ядра Windows. Для этого используется приём BYOVD (Bring Your Own Vulnerable Driver). Злоумышленник загружает в систему старый, но подписанный производителем драйвер с известной уязвимостью и через него получает доступ к ядру ОС.

После этого BlackSanta завершает процессы антивирусов, отключает агенты EDR, ослабляет Microsoft Defender и подавляет системное журналирование. Поскольку драйвер имеет подпись производителя, защитное ПО не воспринимает его как угрозу. С выключенной защитой вредоносная программа собирает криптовалютные кошельки и персональные данные сотрудников, а затем выгружает всё по зашифрованному каналу.

Aditya K Sood, вице-президент по разработке безопасности Aryaka, описал кампанию в техническом отчёте. По его оценке, за BlackSanta стоит зрелый противник, сочетающий социальную инженерию, использование штатных инструментов ОС и манипуляции на уровне ядра.

Приём BYOVD набирает популярность среди злоумышленников. В 2024 году группировка RansomHub применяла инструмент EDRKillShifter с тем же принципом для обхода защиты перед запуском шифровальщика. Sophos в том же году описала кампанию с загрузкой уязвимых драйверов Avast для нейтрализации EDR. Microsoft ведёт список заблокированных уязвимых драйверов (Vulnerable Driver Blocklist), но по умолчанию он включён не на всех системах Windows.

Атаки через поддельные резюме тоже не новы. В 2023 году группировка TA4557 (по классификации Proofpoint) атаковала специалистов по подбору персонала, через поддельные сайты с резюме, загружавшие программу удаленного доступа More_Eggs. В 2024 году Lazarus Group (она же APT38, Hidden Cobra) рассылала разработчикам фальшивые предложения работы (операция DreamJob). BlackSanta отличается от обеих кампаний тем, что сочетает атаку на HR с отключением защиты на уровне ядра.