Evolução do APT28 PixyNetLoader de 2024 a 2026

Resumo

O relatório examina como o APT28 evoluiu sua família de malware PixyNetLoader entre 2024 e 2026. O loader é distribuído através de documentos Office maliciosos explorando CVE-2026-21509 e instala uma DLL registrada como COM que extrai uma payload oculta de arquivos PNG usando esteganografia LSB. Essa payload é um implante Covenant Grunt que se comunica através do serviço em nuvem FILEN. Pesquisadores identificaram quatro subfamílias distintas do PixyNetLoader e criaram uma regra YARA unificada para suportar a detecção através das variantes.

Investigação

Os analistas revisaram cerca de 90 amostras de malware e as agruparam em quatro subfamílias com base em funções compartilhadas e padrões de hash de cabeçalho Rich. Eles descobriram que variantes mais recentes introduzidas em março de 2026 adicionaram novos métodos de esteganografia, incluindo cabeçalhos criptografados com AES e derivação de chave baseada em PBKDF2. A investigação também documentou os caminhos de arquivos relevantes, chaves de registro e nomes de exportações DLL usados pelo malware, e produziu assinaturas YARA para funcionalidades comuns em toda a família.

Mitigação

Defensores devem monitorar registros COM suspeitos de DLLs desconhecidas, as chaves de registro relacionadas a CLSIDs específicos ligadas ao malware, e a implantação de arquivos PNG em locais de preparação conhecidos. Defesas de rede também devem inspecionar o tráfego para o serviço FILEN e para características de payload que correspondam aos padrões de esteganografia LSB descritos nas regras YARA. Organizações devem aplicar o patch para CVE-2026-21509 e limitar ou desativar a execução de macros do Office arriscadas para reduzir a exposição.

Resposta

Se a atividade do PixyNetLoader for detectada, isolar o endpoint impactado, remover a DLL maliciosa e o arquivo PNG associado, e redefinir qualquer registro COM comprometido. Investigadores devem coletar a payload extraída do Covenant Grunt e logs de rede relevantes, então procurar por ferramentas relacionadas ao APT28, como SlimAgent ou Graphite. O conteúdo da detecção também deve ser atualizado e restrições de macro aplicadas consistentemente em todo o ambiente.

Execução de Simulação

Pré-requisito: A Verificação de Pré-voo de Telemetria e Linha de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar exatamente a telemetria esperada pela lógica de detecção.

• Narrativa do Ataque & Comandos:
  Um operador do APT28 obtém uma payload maliciosa (por exemplo, uma backdoor PowerShell) e a incorpora em um PNG usando uma ferramenta de esteganografia personalizada. O operador então copia o PNG criado para um dos locais de distribuição conhecidos do PixyNetLoader (SplashScreen.png). A gravação do arquivo gera um evento de auditoria de Segurança do Windows (4663) que corresponde à regra Sigma, causando um alerta. O atacante usa um tipo de arquivo comum (PNG) para se misturar aos dados normais do usuário e evitar assinaturas de AV do endpoint.

• Script de Teste de Regressão:

  # --------------------------------------------------------------
  # Simulação de Esteganografia PNG do PixyNetLoader – aciona detecção
  # --------------------------------------------------------------
  
  # 1. Definir o caminho de destino (escolha um dos três locais monitorados)
  $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png"
  
  # 2. Construir um cabeçalho PNG mínimo (8 bytes) – em um ataque real, isso
  #    incluiria o payload oculto por esteganografia.
  $pngHeader = [byte[]] (0x89,0x50,0x4E,0x47,0x0D,0x0A,0x1A,0x0A)
  
  # 3. Anexar um payload fictício (por exemplo, um script PowerShell codificado em base64)
  $payload = [Text.Encoding]::ASCII.GetBytes(
      "UE9TVCAiZXhlYyAiY2F0IC5leHQiIiA+ICJQYXlsb2FkIg=="
  )   # Base64 de: POST "exec "cat .ext"" > "Payload"
  
  $fileBytes = $pngHeader + $payload
  
  # 4. Gravar o PNG criado no local de destino
  [IO.File]::WriteAllBytes($targetPath, $fileBytes)
  
  Write-Host "PNG malicioso implantado em $targetPath"

• Comandos de Limpeza:

  # Remover o PNG malicioso para restaurar o host
  $targetPath = "$env:USERPROFILEMicrosoft OneDrivesetupCacheSplashScreen.png"
  if (Test-Path $targetPath) {
      Remove-Item -Path $targetPath -Force
      Write-Host "Removido $targetPath"
  } else {
      Write-Host "Arquivo não encontrado – nada para limpar."