Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un sito web malevolo che si presenta come un servizio gratuito di rimozione dello sfondo offre un framework malware a più stadi noto come CastleLoader. Una volta eseguito, il loader installa NetSupport RAT insieme a un software di furto personalizzato .NET progettato per estrarre credenziali del browser, dati del portafoglio di criptovalute e informazioni sulla sessione di Telegram. Il malware comunica con la sua infrastruttura di comando e controllo tramite canali criptati che si basano su protocolli personalizzati e crittografia ChaCha20. La campagna utilizza anche molteplici tecniche di elusione, inclusa l’iniezione hollowing del processo, l’iniezione APC e l’abuso di ReplaceTextW, per ridurre la rilevazione e mantenere l’esecuzione.
Indagine
I ricercatori hanno rintracciato l’attacco a un payload iniziale copiato negli appunti della vittima tramite un falso prompt “Non sono un robot”, seguito dall’uso di finger.exe per recuperare un comando da un server remoto. Un’analisi più approfondita ha scoperto una catena di interpreti Python su misura che scaricava ulteriori componenti malware, un loader di shellcode personalizzato protetto con RC4 e un loader PE riflettente che chiamava NtAllocateVirtualMemory direttamente. Gli investigatori hanno scoperto che CastleLoader recuperava compiti criptati dal suo server di comando e controllo, li decriptava in memoria e avviava payload successivi attraverso vari metodi di esecuzione.
Mitigazione
I difensori dovrebbero bloccare l’esecuzione di utility Windows non necessarie come finger.exe and regsvr32.exe, imporre AppLocker o politiche di controllo delle applicazioni comparabili e limitare il traffico in uscita verso domini non attendibili e porte insolite. Le organizzazioni dovrebbero anche considerare di limitare l’accesso alla finestra di dialogo Esegui ove operativamente possibile e monitorare l’uso sospetto di ReplaceTextW e attività insolite degli oggetti COM. Il rafforzamento del browser può aiutare a ridurre l’esposizione al furto di credenziali basato su DPAPI, mentre mantenere aggiornate le estensioni del portafoglio di criptovalute può ridurre il rischio di compromissione del portafoglio.
Risposta
I team di sicurezza dovrebbero cercare CastleLoader rilevando il comando caratteristico degli appunti, monitorando il traffico verso i domini di comando e controllo identificati e cercando le stringhe user-agent personalizzate del malware. Gli investigatori dovrebbero anche esaminare qualsiasi attività pianificata creata sotto %ProgramData% e cercare il valore del mutex associato. Se l’infezione è confermata, isolare l’host interessato, terminare qualsiasi processo NetSupport RAT attivo e rimuovere i file malevoli inseriti in %ProgramData% and %LocalAppData%.
"graph TB %% Class Definitions classDef technique fill:#ffcc99 classDef operator fill:#ff9900 %% Node Definitions tech_content_injection["<b>Tecnica</b> – <b>T1659 Iniezione di Contenuto</b><br/><b>Descrizione</b>: L’avversario inietta contenuto malevolo in file legittimi o flussi di dati per fornire payload."] class tech_content_injection technique tech_user_exec_link["<b>Tecnica</b> – <b>T1204.001 Esecuzione dell’Utente: Link Malevolo</b><br/><b>Descrizione</b>: La vittima è indotta a cliccare su un hyperlink malevolo che lancia codice malevolo."] class tech_user_exec_link technique tech_user_exec_copypaste["<b>Tecnica</b> – <b>T1204.004 Esecuzione dell’Utente: Copia e Incolla Malevolo</b><br/><b>Descrizione</b>: La vittima copia e incolla codice o comandi malevoli in un’applicazione attendibile."] class tech_user_exec_copypaste technique tech_obfuscation["<b>Tecnica</b> – <b>T1027 Offuscamento di File o Informazioni</b><br/><b>Descrizione</b>: Il malware è nascosto utilizzando tecniche di offuscamento per eludere la rilevazione."] class tech_obfuscation technique tech_deobfuscate["<b>Tecnica</b> – <b>T1140 Deoffuscare/Decodificare File o Informazioni</b><br/><b>Descrizione</b>: Il codice malevolo è decodificato o deoffuscato per rivelare la sua vera funzionalità."] class tech_deobfuscate technique tech_encrypted_channel["<b>Tecnica</b> – <b>T1573 Canale Criptato</b><br/><b>Descrizione</b>: La comunicazione è criptata per proteggere i dati in transito dall’analisi."] class tech_encrypted_channel technique tech_process_injection_apc["<b>Tecnica</b> – <b>T1055.009 Iniezione di Processo (APC)</b><br/><b>Descrizione</b>: Il codice è iniettato in un processo bersaglio utilizzando chiamate asincrone."] class tech_process_injection_apc technique tech_process_hollowing["<b>Tecnica</b> – <b>T1055.012 Iniezione di Processo (Process Hollowing)</b><br/><b>Descrizione</b>: Un processo legittimo è creato e la sua memoria è sostituita con codice malevolo."] class tech_process_hollowing technique tech_reflective_loading["<b>Tecnica</b> – <b>T1620 Caricamento di Codice Riflessivo</b><br/><b>Descrizione</b>: Il codice malevolo è caricato direttamente in memoria senza toccare il disco."] class tech_reflective_loading technique tech_screen_capture["<b>Tecnica</b> – <b>T1113 Cattura Schermo</b><br/><b>Descrizione</b>: Cattura screenshot del desktop della vittima per ricognizione."] class tech_screen_capture technique tech_regsvr32["<b>Tecnica</b> – <b>T1218.010 Esecuzione Proxy di Regsvr32</b><br/><b>Descrizione</b>: Utilizza regsvr32 per eseguire codice malevolo tramite una DLL proxy."] class tech_regsvr32 technique tech_masquerading["<b>Tecnica</b> – <b>T1036.011 Mascheramento (copia di conhost)</b><br/><b>Descrizione</b>: Il binario malevolo viene rinominato o copiato per assomigliare a conhost.exe per evitare sospetti."] class tech_masquerading technique tech_relocate_malware["<b>Tecnica</b> – <b>T1070.010 Rilocare Malware (nomi casuali)</b><br/><b>Descrizione</b>: I file malware vengono spostati e rinominati con nomi casuali per ostacolare la scoperta."] class tech_relocate_malware technique tech_credential_theft["<b>Tecnica</b> – <b>T1552.004 Furto di Credenziali (DPAPI/AES)</b><br/><b>Descrizione</b>: Estrae credenziali protette da crittografia DPAPI o AES."] class tech_credential_theft technique tech_keylogging["<b>Tecnica</b> – <b>T1056.001 Keylogging</b><br/><b>Descrizione</b>: Cattura i tasti inseriti dall’utente per raccogliere informazioni sensibili."] class tech_keylogging technique %% Connessioni tech_content_injection –>|porta a| tech_user_exec_link tech_user_exec_link –>|porta a| tech_user_exec_copypaste tech_user_exec_copypaste –>|porta a| tech_obfuscation tech_obfuscation –>|porta a| tech_deobfuscate tech_deobfuscate –>|porta a| tech_encrypted_channel tech_encrypted_channel –>|porta a| tech_process_injection_apc tech_process_injection_apc –>|porta a| tech_process_hollowing tech_process_hollowing –>|porta a| tech_reflective_loading tech_reflective_loading –>|porta a| tech_screen_capture tech_screen_capture –>|porta a| tech_regsvr32 tech_regsvr32 –>|porta a| tech_masquerading tech_masquerading –>|porta a| tech_relocate_malware tech_relocate_malware –>|porta a| tech_credential_theft tech_credential_theft –>|porta a| tech_keylogging "
Flusso di Attacco
Rilevazioni
Punti di Persistenza Possibili [ASEPs – Software/NTUSER Hive] (tramite registry_event)
Vedi
Possibili Modelli di Attacco ClickFix Nella Riga di Comando (tramite cmdline)
Vedi
Esecuzione Sospetta di Taskkill (tramite cmdline)
Vedi
Utilizzo Esplicito di COMSPEC Sospetto (tramite process_creation)
Vedi
Possibile Scoperta Remota del Sistema o Verifica della Connettività (tramite cmdline)
Vedi
Possibile Tentativo di Esecuzione del Binario NetSupport Manager da un Directory Sospetto (tramite process_creation)
Vedi
Utilizzo Sospetto di CURL (tramite cmdline)
Vedi
Binari / Script Sospetti nella Posizione di Avvio Automatico (tramite file_event)
Vedi
IOC (HashSha256) per rilevare: ClickFix Rimuove Il Tuo Sfondo ma Lascia il Malware
Vedi
IOC (SourceIP) per rilevare: ClickFix Rimuove Il Tuo Sfondo ma Lascia il Malware
Vedi
IOC (DestinationIP) per rilevare: ClickFix Rimuove Il Tuo Sfondo ma Lascia il Malware
Vedi
Rilevazione dell’uso malevolo di finger.exe con crittografia RC4 o AES-CBC [Connessione di Rete Windows]
Vedi
Esecuzione di CastleLoader tramite Regsvr32 e Process Hollowing con PowerShell [Creazione Processo Windows]
Vedi
Esecuzione di Simulazione
Prerequisito: Il Check di Telemetria e Baseline Pre-volo deve essere stato superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevazione. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevazione.
-
Narrativa dell’Attacco & Comandi:
Un avversario che ha già compromesso un account a bassa privilegio vuole utilizzare un binario Windows firmato (finger.exe) per nascondere l’esecuzione di un payload di crittografia personalizzato. Invocano il binario con un argomento creato ad hoc che include la stringa “RC4” (o “AES-CBC”) per indicare il cifrario scelto. Poiché il binario è firmato, Windows AppLocker o altre soluzioni di whitelisting sono meno propense a bloccarlo, e la parola chiave della riga di comando soddisfa la crittografia condizione della regola Sigma. -
Script di Test di Regressione:
# ------------------------------------------------------------ # Uso malevolo simulato di finger.exe con crittografia RC4 # ------------------------------------------------------------ # Assicurati che finger.exe sia nel PATH o specifica il percorso completo. $fingerPath = "$env:SystemRootSystem32finger.exe" if (-not (Test-Path $fingerPath)) { Write-Error "finger.exe non trovato presso $fingerPath" exit 1 } # Crea una riga di comando che includa la parola chiave RC4 $maliciousCmd = "$fingerPath -p RC4 -target 10.0.0.5" Write-Host "Esecuzione del comando malevolo: $maliciousCmd" Invoke-Expression $maliciousCmd # Opzionale: Pausa per consentire l'ingestione SIEM Start-Sleep -Seconds 5 -
Comandi di Pulizia:
# Termina eventuali processi finger.exe residui Get-Process -Name finger -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "Pulizia completata."