8 de março de 2025

APT28 aprimora técnicas de ofuscação com trojans HTA avançados

6 de março de 2025

O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques cibernéticos, empregando arquivos HTA com múltiplas camadas de ofuscação e codificação VBE para evitar a detecção. Essas táticas sofisticadas representam uma ameaça significativa para organizações globais.​

Pesquisadores de segurança descobriram que o grupo APT28, associado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques cibernéticos. Uma análise recente revelou que o grupo emprega arquivos HTA (Aplicação HTML) com múltiplas camadas de ofuscação e utiliza a técnica VBE (VBScript Encoded) para evitar a detecção.

Análise Técnica do Trojan HTA

Amostras de malware analisadas mostraram mecanismos de decodificação complexos embutidos nos arquivos HTA. O código ofuscado utiliza padrões únicos de divisão de strings, como “@#@”, para ocultar sua funcionalidade.

HTA Trojan

Pesquisadores, utilizando ferramentas de depuração como x32dbg, conseguiram reverter o algoritmo de decodificação do malware. O processo envolveu loops de comparação iterativos que manipulavam registradores de memória (EDX e EAX) para desofuscar caracteres individuais. A lógica de decodificação dependia de um algoritmo de mapeamento personalizado que transformava strings ofuscadas em texto legível.​

HTA Trojan

Exploração da Codificação VBE da Microsoft

A investigação revelou que o APT28 utilizou o Windows Script Encoder (screnc.exe) da Microsoft para codificar arquivos VBScript (.vbs) no formato .vbe. Essa técnica, originalmente projetada para proteger scripts contra acesso não autorizado, foi reaproveitada pelos invasores para dificultar a análise. Os arquivos .vbe codificados continham flags como “#@” e “#@$”, que foram decodificados usando scripts Python disponíveis publicamente, como “vbe-decoder.py”. Após a desofuscação, os pesquisadores descobriram um arquivo VBScript que servia como a etapa final do malware, executando cargas adicionais destinadas a espionagem.​

Essas descobertas destacam os esforços contínuos do APT28 em refinar suas técnicas de ofuscação para atingir objetivos de ciberespionagem. Ao combinar ofuscação em múltiplas camadas com codificação VBE, o grupo demonstra um alto nível de sofisticação técnica visando contornar mecanismos tradicionais de detecção. Essas táticas representam uma ameaça significativa para organizações nas regiões alvo e além. Profissionais de segurança são instados a permanecer vigilantes e implementar estratégias robustas de detecção capazes de identificar métodos avançados de ofuscação.​

Arquivos identificados:

  • MD5: d0c3b49e788600ff3967f784eb5de973
  • SHA256: 332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725

Atividade de rede associada:

  • Endereço IP: 5[.]45[.]70[.]178

Matérias Relacionadas

5 áreas importantes para segurança da informação

5 de outubro de 2024

Exploits: Tipos, Construção e Exploração

3 de outubro de 2024

OWASP para Iniciantes: Protegendo Aplicações Web

3 de outubro de 2024

Veja mais..

Google lança duas novas ferramentas de IA para detectar golpes conversacionais em dispositivos Android

6 de março de 2025

APT28 aprimora técnicas de ofuscação com trojans HTA avançados

6 de março de 2025

Vulnerabilidade crítica no plugin ChatyPro expõe milhares de sites WordPress

6 de março de 2025
Hackers oferecem recompensa por informações internas em notas de ransomware

Hackers oferecem recompensa por informações internas em notas de ransomware

5 de fevereiro de 2025

Nova Campanha de Malware Utiliza AsyncRAT, Python e TryCloudflare para Ataques Furtivos

5 de fevereiro de 2025