Pesquisadores de segurança descobriram que o grupo APT28, associado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques cibernéticos. Uma análise recente revelou que o grupo emprega arquivos HTA (Aplicação HTML) com múltiplas camadas de ofuscação e utiliza a técnica VBE (VBScript Encoded) para evitar a detecção.
Análise Técnica do Trojan HTA
Amostras de malware analisadas mostraram mecanismos de decodificação complexos embutidos nos arquivos HTA. O código ofuscado utiliza padrões únicos de divisão de strings, como “@#@”, para ocultar sua funcionalidade.
Pesquisadores, utilizando ferramentas de depuração como x32dbg, conseguiram reverter o algoritmo de decodificação do malware. O processo envolveu loops de comparação iterativos que manipulavam registradores de memória (EDX e EAX) para desofuscar caracteres individuais. A lógica de decodificação dependia de um algoritmo de mapeamento personalizado que transformava strings ofuscadas em texto legível.
Exploração da Codificação VBE da Microsoft
A investigação revelou que o APT28 utilizou o Windows Script Encoder (screnc.exe) da Microsoft para codificar arquivos VBScript (.vbs) no formato .vbe. Essa técnica, originalmente projetada para proteger scripts contra acesso não autorizado, foi reaproveitada pelos invasores para dificultar a análise. Os arquivos .vbe codificados continham flags como “#@” e “#@$”, que foram decodificados usando scripts Python disponíveis publicamente, como “vbe-decoder.py”. Após a desofuscação, os pesquisadores descobriram um arquivo VBScript que servia como a etapa final do malware, executando cargas adicionais destinadas a espionagem.
Essas descobertas destacam os esforços contínuos do APT28 em refinar suas técnicas de ofuscação para atingir objetivos de ciberespionagem. Ao combinar ofuscação em múltiplas camadas com codificação VBE, o grupo demonstra um alto nível de sofisticação técnica visando contornar mecanismos tradicionais de detecção. Essas táticas representam uma ameaça significativa para organizações nas regiões alvo e além. Profissionais de segurança são instados a permanecer vigilantes e implementar estratégias robustas de detecção capazes de identificar métodos avançados de ofuscação.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
Uma falha crítica (CVE-2025-26776) no plugin Chaty Pro para WordPress permite que invasores façam upload…