Pesquisadores de segurança descobriram que o grupo APT28, associado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques cibernéticos. Uma análise recente revelou que o grupo emprega arquivos HTA (Aplicação HTML) com múltiplas camadas de ofuscação e utiliza a técnica VBE (VBScript Encoded) para evitar a detecção.
Análise Técnica do Trojan HTA
Amostras de malware analisadas mostraram mecanismos de decodificação complexos embutidos nos arquivos HTA. O código ofuscado utiliza padrões únicos de divisão de strings, como “@#@”, para ocultar sua funcionalidade.
Pesquisadores, utilizando ferramentas de depuração como x32dbg, conseguiram reverter o algoritmo de decodificação do malware. O processo envolveu loops de comparação iterativos que manipulavam registradores de memória (EDX e EAX) para desofuscar caracteres individuais. A lógica de decodificação dependia de um algoritmo de mapeamento personalizado que transformava strings ofuscadas em texto legível.
Exploração da Codificação VBE da Microsoft
A investigação revelou que o APT28 utilizou o Windows Script Encoder (screnc.exe) da Microsoft para codificar arquivos VBScript (.vbs) no formato .vbe. Essa técnica, originalmente projetada para proteger scripts contra acesso não autorizado, foi reaproveitada pelos invasores para dificultar a análise. Os arquivos .vbe codificados continham flags como “#@” e “#@$”, que foram decodificados usando scripts Python disponíveis publicamente, como “vbe-decoder.py”. Após a desofuscação, os pesquisadores descobriram um arquivo VBScript que servia como a etapa final do malware, executando cargas adicionais destinadas a espionagem.
Essas descobertas destacam os esforços contínuos do APT28 em refinar suas técnicas de ofuscação para atingir objetivos de ciberespionagem. Ao combinar ofuscação em múltiplas camadas com codificação VBE, o grupo demonstra um alto nível de sofisticação técnica visando contornar mecanismos tradicionais de detecção. Essas táticas representam uma ameaça significativa para organizações nas regiões alvo e além. Profissionais de segurança são instados a permanecer vigilantes e implementar estratégias robustas de detecção capazes de identificar métodos avançados de ofuscação.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…