Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Gli attori delle minacce stanno utilizzando i costruttori di siti web guidati dall’IA per creare pagine di phishing persuasive che imitano marchi bancari brasiliani. Queste pagine si basano sulla tecnica ClickFix, utilizzando controlli CAPTCHA falsi e messaggi di recupero del sistema per convincere le vittime a eseguire comandi PowerShell dannosi. Il risultato è la consegna di SmartRAT, un trojan bancario basato su PowerShell costruito per l’accesso remoto e il furto di informazioni finanziarie.
Indagine
Zscaler ThreatLabz ha identificato più domini di typosquatting e ha analizzato l’intera catena di infezione, osservando commenti e script di codice generati dall’IA progettati per resistere all’ispezione. L’indagine ha anche esposto una debolezza nel pannello di comando e controllo costruito dall’IA che ha reso possibile il bypass dell’autenticazione tramite localStorage manipolazione. I ricercatori hanno ulteriormente decodificato il protocollo di comunicazione di SmartRAT e documentato il suo uso della crittografia AES-CBC.
Mitigazione
Le organizzazioni dovrebbero implementare il filtraggio web per bloccare i domini di typosquatting e maliziosi noti. Le difese degli endpoint dovrebbero essere configurate per rilevare e limitare l’attività PowerShell sospetta e la creazione non autorizzata di attività pianificate. Gli sforzi di consapevolezza degli utenti dovrebbero anche insegnare ai dipendenti a riconoscere l’ingegneria sociale in stile ClickFix, inclusi falsi schermi blu, messaggi di recupero o prompt CAPTCHA.
Risposta
Se viene rilevata un’attività SmartRAT, isolare immediatamente gli endpoint interessati per interrompere il traffico di comando e controllo e limitare ulteriormente il movimento. Eseguire un’analisi forense per determinare il metodo di persistenza, sia esso basato su servizi o attività pianificate, e cercare artefatti correlati come msedgeupdate.txt. Rivedere i log del proxy web per il traffico verso l’infrastruttura identificata e iniziare la reimpostazione delle credenziali per eventuali utenti interessati.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef technique fill:#ccffcc %% Initial Access and Execution Phase action_phishing["<b>Azione</b> – <b>T1566 Phishing</b><br/>Gli attori delle minacce usano domini di typosquatting<br/>e siti web generati dall’IA per attirare le vittime."] class action_phishing action action_clickfix["<b>Azione</b> – <b>T1204.004 Esecuzione Utente: Copia e Incolla Malicioso</b><br/>Inganna gli utenti per incollare un<br/>comando PowerShell malicioso nella finestra di Esegui di Windows."] class action_clickfix action action_ingress["<b>Azione</b> – <b>T1105 Trasferimento dello Strumento d’Ingresso</b><br/>Scarica un dropper stealthy chiamato st.txt<br/>dall’IP remoto 64.95.13.238."] class action_ingress action tool_dropper["<b>Strumento</b> – <b>Nome</b>: st.txt<br/><b>Descrizione</b>: Dropper stealthy usato per<br/>facilitare la consegna del malware principale."] class tool_dropper tool %% Malware Execution and Persistence Phase malware_smartrat["<b>Malware</b> – <b>Nome</b>: SmartRAT<br/><b>Descrizione</b>: RAT principale usato per<br/>sorveglianza e furto di dati finanziari."] class malware_smartrat malware action_user_exec_file["<b>Azione</b> – <b>T1204.002 Esecuzione Utente: File Malicioso</b><br/>Esegue il malware principale SmartRAT."] class action_user_exec_file action action_gather_info["<b>Azione</b> – <b>T1592.001/002 Raccogliere Informazioni sull’Host della Vittima</b><br/>Raccoglie dettagli hardware, software e del sistema operativo<br/>per generare un token di identità unico."] class action_gather_info action action_persistence_service["<b>Azione</b> – <b>T1543.003 Creare o Modificare Processo di Sistema: Servizio Windows</b><br/>Crea un servizio Windows chiamato<br/>MicrosoftEdgeUpdateCore per la persistenza."] class action_persistence_service action action_persistence_registry["<b>Azione</b> – <b>Persistenza tramite Chiavi di Esecuzione Registro di Sistema</b><br/>Usa chiavi di esecuzione del registro per mantenere l’accesso."] class action_persistence_registry action action_priv_esc["<b>Azione</b> – <b>T1548 Escalation dei Privilegi</b><br/>Richiede l’elevazione UAC per eseguire il<br/>servizio con privilegi SYSTEM."] class action_priv_esc action %% Command and Control and Exfiltration Phase action_c2["<b>Azione</b> – <b>T1071 Comando e Controllo</b><br/>Utilizza socket TCP grezzi su una porta non standard<br/>51888 per la comunicazione."] class action_c2 action action_exfiltrate["<b>Azione</b> – <b>T1041 Esfiltrazione sul Canale C2</b><br/>Ruba dati finanziari attraverso la connessione C2<br/>stabilita."] class action_exfiltrate action %% Post-Exploitation and Evasion Phase action_video_capture["<b>Azione</b> – <b>T1125 Acquisizione Video</b><br/>Esegue lo streaming dello schermo per la sorveglianza."] class action_video_capture action action_input_tracking["<b>Azione</b> – <b>T1056 Tracciamento dell’Input</b><br/>Usa keylogging per monitorare gli input dell’utente."] class action_input_tracking action action_mfa_interception["<b>Azione</b> – <b>T1111 Intercettazione dell’Autenticazione Multi-Fattore</b><br/>Utilizza sovrapposizioni false marchiate per rubare token MFA."] class action_mfa_interception action action_masquerading["<b>Azione</b> – <b>T1036 Camuffamento</b><br/>Usa nomi di file esca come msedge.txt per evitare il rilevamento."] class action_masquerading action action_file_deletion["<b>Azione</b> – <b>T1070.004 Rimozione Indicatori: Eliminazione di File</b><br/>Usa un comando di disinstallazione per ridurre l’impronta forense."] class action_file_deletion action %% Connection Flow action_phishing –>|porta_a| action_clickfix action_clickfix –>|porta_a| action_ingress action_ingress –>|scarica| tool_dropper tool_dropper –>|esegue| action_user_exec_file action_user_exec_file –>|avvia| malware_smartrat malware_smartrat –>|svolge| action_gather_info malware_smartrat –>|stabilisce| action_persistence_service malware_smartrat –>|stabilisce| action_persistence_registry malware_smartrat –>|tenta| action_priv_esc action_priv_esc –>|abilita| action_c2 action_c2 –>|usato_per| action_exfiltrate action_c2 –>|usato_per| action_video_capture action_c2 –>|usato_per| action_input_tracking action_c2 –>|usato_per| action_mfa_interception malware_smartrat –>|usa| action_masquerading malware_smartrat –>|svolge| action_file_deletion "
Flusso d’Attacco
Rilevamenti
Possibili Punti di Persistenza [ASEP – Software/NTUSER Hive] (via registry_event)
Visualizza
Download o Upload via PowerShell (via cmdline)
Visualizza
Richiama Metodi .NET Sospetti da PowerShell (via powershell)
Visualizza
Richiama Funzioni API di Windows Sospette da PowerShell (via powershell)
Visualizza
File Sospetti nel Profilo Utente Pubblico (via file_event)
Visualizza
Rileva Esecuzione di SmartRAT PowerShell tramite PowerShell ScriptBlockText [Windows Sysmon]
Visualizza
Persistenza di SmartRAT tramite Attività Pianificata e Modifica del Registro [Creazione Processi Windows]
Visualizza
Rileva Comando PowerShell e Tecniche usate da SmartRAT [Windows PowerShell]
Visualizza
## Esecuzione della Simulazione
Prerequisito: Il Controllo di Pre-Flight di Telemetria e Base dovrebbe essere stato superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrazione e Comandi di Attacco: L’avversario ha ottenuto con successo l’accesso iniziale tramite una campagna di phishing (T1566) e sta ora tentando di stabilire la persistenza. Per integrarsi con l’attività legittima del sistema, l’attaccante utilizza un approccio “Living-off-the-Land”, eseguendo un comando malicioso che si maschera come un processo di aggiornamento di Microsoft Edge (T1036). L’attaccante esegue un’istruzione da riga di comando contenente la stringa
msedgeupdate.txtper attivare un meccanismo simulato di persistenza, che in uno scenario reale comporterebbe la creazione di un’attività pianificata o di un servizio. -
Script di Test di Regressione:
# Script di Simulazione della Persistenza di SmartRAT # Questo script genera la telemetria specifica della riga di comando richiesta per attivare la regola di rilevamento. $TargetString = "msedgeupdate.txt" $FakePath = "C:UsersPublicDocuments$TargetString" # Crea un file falso per rendere la riga di comando più realistica New-Item -Path $FakePath -ItemType File -Force | Out-Null Write-Host "[+] Simulazione di persistenza di SmartRAT tramite riga di comando: $TargetString" -ForegroundColor Cyan # Esegui il comando che attiva la logica di rilevamento Start-Process cmd.exe -ArgumentList "/c echo 'Simulazione di attività SmartRAT con $TargetString' > $FakePath" -WindowStyle Hidden Write-Host "[+] Comando di simulazione eseguito." -ForegroundColor Green -
Comandi di Pulizia:
# Rimuovi il file falso creato durante la simulazione Remove-Item -Path "C:UsersPublicDocumentsmsedgeupdate.txt" -Force -ErrorAction SilentlyContinue Write-Host "[+] Pulizia completata." -ForegroundColor Yellow