Operation DualScript – Eine mehrstufige PowerShell-Malware-Kampagne, die auf Kryptowährungen und Finanzaktivitäten abzielt

Einführung

Im Zuge unserer Untersuchung identifizierten wir eine mehrstufige Malware-Infektion, die die Persistenz geplanter Aufgaben, VBScript-Launcher und PowerShell-basierte Ausführung nutzt. Der Angriff erfolgt über zwei parallele Ketten: einen webbasierten PowerShell-Loader, der Remote-Payloads abruft, und eine zweite PowerShell-Loader-Kette, die das RetroRAT-Implantat ausführt.

Durch den Missbrauch legitimer Windows-Komponenten und die direkte Ausführung von Payloads im Arbeitsspeicher minimieren die Angreifer Datenverluste auf der Festplatte und umgehen herkömmliche Erkennungsmechanismen.

Erste Erkenntnisse

Die Untersuchung wurde eingeleitet, nachdem verdächtige geplante Aufgaben identifiziert wurden, die VBScript-Dateien aus für Benutzer zugänglichen Verzeichnissen ausführten. Die Aufgaben waren so konfiguriert, dass sie versteckte PowerShell-Befehle starteten, was auf einen möglichen Missbrauch nativer Windows-Skriptkomponenten zur dauerhaften Sicherung hindeutet.

Weitere Untersuchungen brachten mehrere verdächtige Artefakte zutage, darunter:

• VBScript-Launcher, die PowerShell mit Umgehung der Ausführungsrichtlinie aufrufen
• Ein PowerShell-Skript (ppamproServiceZuneWAL.ps1) lädt Inhalte von einer externen Domäne herunter und führt sie aus.
• Zusätzliche PowerShell-Skripte wurden verwendet, um schädliche Nutzdaten direkt im Speicher auszuführen.

Ausgehende Verbindungen zu einer entfernten Webressource, die Wallet.txt hostet, bestätigten den aktiven Abruf von Befehlen von einem externen Server, was auf die Fähigkeit zur Remote-Befehlsausführung hinweist.

Diese Ergebnisse bestätigten das Vorliegen einer persistenten, mehrstufigen Kompromittierung, die webbasierte Nutzdaten und PowerShell-Ausführungstechniken im Arbeitsspeicher nutzte.

Übersicht der Infektionskette

Der Kompromiss besteht aus zwei parallelen Ausführungsketten, die durch Persistenz, die über die Windows-Aufgabenplanung eingerichtet wurde, ausgelöst werden. Beide Ketten nutzen VBScript-Launcher und PowerShell-Ausführung, um schädliche Komponenten bereitzustellen und gleichzeitig die Festplattenbelegung zu minimieren.

Eine Kette ruft eine Remote-PowerShell-Payload ab und führt sie aus, die Kryptowährungs-Zwischenablagen abfängt. Die zweite Kette verwendet einen VBScript-Launcher (PiceVid.vbs), um eine PowerShell-basierte Payload (PiceVid.ps1) auszuführen, die die RetroRAT-Malware zur Systemüberwachung, Verfolgung von Finanzaktivitäten und zur Remote-Befehlsausführung einsetzt.

 

Kette 1 – Web-Backdoor-Komponenten

Persistenz geplanter Aufgaben

Die Persistenz wurde durch Windows-Aufgabenplanung erreicht, die so konfiguriert ist, dass sie VBScript-Dateien aus benutzerbeschreibbaren Verzeichnissen ausführen. Die Aufgaben rufen PowerShell im versteckten Modus mit aktivierter Umgehung der Ausführungsrichtlinie auf.

Dies gewährleistet die zuverlässige Wiederausführung der schädlichen Befehlskette und umgeht dabei herkömmliche Startregistrierungsmechanismen.

VBS Launcher – ppamproServiceZuneWAL.vbs

Dieses Skript dient als Ausführungsintermediär und startet PowerShell im Hintergrund. Es enthält nicht die eigentliche Nutzlast, sondern fungiert als kontrollierter Einstiegspunkt in die Remote-Loader-Kette.

Remote Loader – ppamproServiceZuneWAL.ps1

Dieses Skript fungiert als webbasierte Hintertür und führt Folgendes aus:

• Validierung einzelner Instanzen über WMI-Prozessaufzählung
• HTTP-Abruf des Remote-Skripts (Wallet.txt)
• Dynamische Ausführung mittels [ScriptBlock]::Create().Invoke()

Die Remote-Payload wird vollständig im Arbeitsspeicher ausgeführt. Da die Inhalte extern gehostet werden, können sie dynamisch aktualisiert werden, was Angreifern eine kontinuierliche Kontrolle ermöglicht.

Das ppamproServiceZuneWAL.ps1 Das Skript fungiert als PowerShell-basierter Remote-Loader und AusführungscontrollerZunächst ermittelt das Skript seinen eigenen Skriptnamen mithilfe des Objekts `$MyInvocation` und führt die Funktion `CURRENT-instance` aus. Diese prüft über WMI alle laufenden `powershell.exe`-Prozesse, um festzustellen, ob bereits eine andere Instanz desselben Skripts aktiv ist. Wird eine doppelte Instanz gefunden, beendet sich das Skript, um mehrere gleichzeitige Ausführungen zu verhindern. Nachdem sichergestellt ist, dass nur eine Instanz ausgeführt wird, lädt das Skript die .NET-Netzwerkbibliothek `System.Net.Http` und verwendet `HttpClient`, um Inhalte von einem Remoteserver herunterzuladen. hxxps://anycourse[.]net/wp-content/uploads/2025/04/Wallet[.]txtDie abgerufene Wallet.txt-Datei enthält vom Angreifer gesteuerte PowerShell-Befehle. Anstatt diesen Inhalt auf der Festplatte zu speichern, wandelt das Skript den heruntergeladenen Text dynamisch mithilfe von [ScriptBlock]::Create() in ausführbaren PowerShell-Code um und führt ihn direkt im Speicher aus. Dieser Mechanismus transformiert das Skript effektiv in ein Eine webbasierte Hintertür, die es Angreifern ermöglicht, Befehle auf dem kompromittierten System aus der Ferne zu aktualisieren und auszuführen, indem sie einfach den Inhalt von Wallet.txt auf dem Server.

Web-Payload – Wallet.txt

Die heruntergeladene Datei enthält PowerShell-Anweisungen, die von einem externen Server bereitgestellt werden.

Dies ermöglicht dem Angreifer Folgendes:

• Befehle ausgeben
• Komponenten aktualisieren oder neu bereitstellen
• Aufklärung durchführen
• Daten exfiltrieren

Dieser Mechanismus wandelt das kompromittierte System effektiv in ein ferngesteuertes PowerShell-Implantat um.

Wallet.txt enthält ein PowerShell-Skript zum Abfangen der Zwischenablage Dieses Skript wurde entwickelt, um Kryptowährungstransaktionen zu stehlen. Es überwacht kontinuierlich die Zwischenablage des Systems auf kopierten Text und verwendet reguläre Ausdrücke, um Kryptowährungs-Wallet-Adressen wie Bitcoin oder andere Kryptowährungen zu erkennen. Sobald eine passende Adresse gefunden wird, ersetzt das Skript die kopierte Wallet-Adresse durch eine vom Angreifer kontrollierte Adresse aus seinem internen Wörterbuch. Kopiert das Opfer also eine legitime Wallet-Adresse, um Kryptowährung zu senden, wird die Zwischenablage unbemerkt so verändert, dass die Gelder stattdessen an die Wallet des Angreifers umgeleitet werden. Das Skript überwacht die Zwischenablage in regelmäßigen Abständen und ermöglicht dem Angreifer so… Kryptowährungszahlungen heimlich abfangen und umleiten auf dem kompromittierten System.

Angreiferkontrollierte Kryptowährungs-Wallet-Adressen

Das Wallet.txt Die Schadsoftware enthält ein Wörterbuch mit Adressen von Kryptowährungs-Wallets, die vom Angreifer kontrolliert werden. Sobald eine passende Wallet-Adresse in der Zwischenablage gefunden wird, ersetzt die Schadsoftware die Adresse des Opfers durch die entsprechende Adresse der Angreifer-Wallet.

Die Ersatzadressen decken mehrere Kryptowährungen ab, darunter

Bitcoin (BTC), Litecoin (LTC), Ethereum (ETH), Monero (XMR), XRP, NEO, Bitcoin Cash (BCH), Dogecoin (DOGE), Dash, Stellar (XLM), Binance Coin (BNB), Tezos (XTZ), Tron (TRX), VeChain (VET), DigiByte (DGB), Qtum, Cardano (ADA), Polkadot (DOT), Cosmos (ATOM), Lisk, Kava, Algorand (ALGO), Filecoin (FIL), Nano, NEM, Waves, Zcash (ZEC), Terra und THORChain (RUNE).

Kette 2 – PowerShell Loader-Komponenten

VBS Launcher – PiceVid.vbs

Dieses Skript löst die Ausführung von PiceVid.ps1 aus, das als Einstiegspunkt für die lokale Ladekette dient und über die geplante Aufgabe ausgeführt wird.

PowerShell Loader – PiceVid.PS1

Das Skript enthält die RetroRAT-Payload und wird direkt im Speicher ausgeführt.

Anstatt die Nutzdaten in eine separate ausführbare Datei zu schreiben, liest das Skript deren Inhalt und führt sie dynamisch aus. Invoke-Expression (IEx).

Dieser Ansatz ermöglicht es dem Angreifer, die Schadsoftware auszuführen und gleichzeitig die auf der Festplatte erkennbaren Spuren zu minimieren.

Die während der Analyse identifizierte Nutzlast im Arbeitsspeicher entspricht RetroRAT, ein Remote-Access-Trojaner, der auf Finanzaktivitäten im Zusammenhang mit US-amerikanische Bankinstitute und KryptowährungsplattformenDie Schadsoftware überwacht die Benutzeraktivitäten, zeichnet Tastatureingaben auf und verfolgt gezielt Interaktionen mit Finanzdienstleistern, um sensible Informationen zu sammeln.

Nutzlastanalyse – RetroRAT

Die analysierte Payload, RetroRAT genannt, ist ein finanziell motivierter Remote-Access-Trojaner (RAT), der auf Kryptowährungs- und Bankgeschäfte abzielt. Die Malware installiert einen globalen Tastatur-Hook und überwacht kontinuierlich die Titel aktiver Fenster auf Schlüsselwörter, die mit Finanzanwendungen und häufig genutzten Bank- oder Kryptowährungsplattformen in Verbindung stehen. Ihre modulare Architektur in Kombination mit einem TCP-basierten Command-and-Control-Kanal (C2) ermöglicht es dem Angreifer, Remote-Befehle auszuführen, Dateien zu manipulieren, auf Daten aus der Zwischenablage zuzugreifen und zusätzliche Assemblies dynamisch direkt in den Speicher zu laden.

Abwehrumgehungs- und Anti-Analyse-Techniken

Das Beispiel implementiert mehrere Anti-Analyse- und Verteidigungsumgehungstechniken, um eine Erkennung zu vermeiden und die Ausführung in Analyseumgebungen wie Sandboxes, virtuellen Maschinen und automatisierten Malware-Analysesystemen einzuschränken.

– Sandbox-Umgehungsprüfungen

Das Beispiel enthält eine fest codierte Liste gängiger Sandbox- und Analyseumgebungskennungen, darunter bekannte Benutzernamen wie „John Doe“, „Virus“, „Testbenutzer“, „Sandbox“ usw.
Während der Ausführung werden diese Werte mit Systemattributen verglichen, um potenzielle Analyseumgebungen zu erkennen. Wird eine Übereinstimmung gefunden, ändert die Malware ihr Verhalten, vermutlich als Umgehungsmechanismus.

– Erkennung virtueller Maschinen

Malware prüft außerdem, ob sie in einer virtuellen Maschine ausgeführt wird, indem sie die Verzeichnisse, Treiber und zugehörigen Dienste der virtuellen Maschine abfragt. Findet sie Spuren davon, beendet sie sich selbst.

 

– Verwendung von Verschleierungstaktiken

Die Payload nutzt umfangreiche, einfache, aber effektive Verschleierungsmethoden. Methoden- und Klassennamen werden stark verändert, und mehrere Bezeichner enthalten Unicode-Steuerzeichen, die im Dekompiler fehlerhaft erscheinen. Zudem werden die meisten relevanten Zeichenketten kodiert gespeichert und erst zur Laufzeit rekonstruiert. Dies verhindert eine direkte statische Analyse und zwingt den Analysten, die Werte dynamisch zu untersuchen. Mithilfe von de4dot konnten wir die Binärdatei teilweise de-obfuskieren und so lesbare Methodennamen wiederherstellen.

Mutex-Nutzung

Zu Beginn der Ausführung prüft die Schadsoftware, ob ein bestimmter Mutex bereits im System vorhanden ist. Wird ein solcher Mutex gefunden, beendet die Schadsoftware ihre Ausführung sofort mit `Environment.Exit(0)`. Diese Technik wird häufig von Schadsoftware eingesetzt, um eine erneute Infektion des Systems zu verhindern.

Multithread-Ausführung

Die Schadsoftware erzeugt mehrere Worker-Threads, um verschiedene Komponenten ihrer Funktionalität parallel auszuführen. Dieses Design ermöglicht es der Schadsoftware, eine kontinuierliche Überwachung und Hintergrundaktivität aufrechtzuerhalten, ohne andere Vorgänge wie die Befehls- und Kontrollkommunikation oder die Datenverarbeitung zu unterbrechen.

– Thread 1 – Tastaturereignis-Abfangschleife

• new Thread(new ThreadStart(GClass25.smethod_1)).Start();

Das Implantat erstellt einen separaten Ausführungsthread zur Abfangung von Tastatureingaben mittels SetWindowsHookExA(). Innerhalb dieser Routine wird ein Low-Level-Hook (WH_KEYBOARD_LL) registriert, der es der Malware ermöglicht, Tastatureingaben auf niedriger Ebene zu überwachen.

Sobald der Hook installiert ist, tritt der Thread mithilfe von Application.Run() sofort in eine Nachrichtenschleife ein. Dadurch wird sichergestellt, dass der Hook für die gesamte Laufzeit des Prozesses aktiv bleibt und das Implantat somit kontinuierlich Tastatureingaben erfassen kann.

Innerhalb des Hook-Callbacks prüft die Malware, ob die abgefangene Nachricht einem Tastendruckereignis entspricht. Die Bedingung if (int_2 >= 0 && intptr_1 == (IntPtr)256) Stellt sicher, dass der Hook nur gültige Tastendrücke verarbeitet. Der Wert 256 entspricht der WM_KEYDOWN-Nachricht in Windows, was bedeutet, dass der Code nur ausgeführt wird, wenn eine Taste gedrückt wird.

Am Ende dieses Threads ruft die Malware die Funktion UnhookWindowsHookEx() auf, um den zuvor installierten Tastatur-Hook zu entfernen. Dadurch wird eine kontinuierliche Überwachung der Tastatureingaben sichergestellt, bis die Malware beendet wird.

-Thread 2 – Stichwortbasierte Überwachung von US-Bank- und Kryptowährungsdiensten

• new Thread(new ThreadStart(GClass11.smethod_0)).Start();

Zusätzlich zu Thread 1, der Tastaturereignisse abfängt, startet die Malware diesen weiteren Thread, der für die unabhängige Durchführung von Laufzeitprüfungen im Zusammenhang mit den Finanzaktivitäten des Benutzers zuständig ist.

Zunächst werden Verzeichnis und Namen der Protokolldateien vorbereitet und initialisiert, die später zur Speicherung der Überwachungsergebnisse verwendet werden. Hierbei werden zwei separate Dateien angelegt: eine für Kryptowährungsaktivitäten („crypto_results.txt“) und eine für Bankgeschäfte („banks_results.txt“). Diese Dateien werden im Verzeichnis %localappdata% des Benutzers gespeichert.

Anschließend initialisiert die Malware zwei String-Arrays mit den Namen „array“ und „array2“. Die Werte dieser Arrays werden zur Laufzeit dynamisch durch interne Dekodierungsroutinen rekonstruiert. Diese Technik verbirgt wichtige Schlüsselwörter vor statischer Überprüfung, ermöglicht der Malware aber dennoch deren Verwendung während der Ausführung.
Das erste Array (array) enthält 47 (0x2F) Schlüsselwörter im Zusammenhang mit Kryptowährungen, darunter Plattformen wie Coinbase, Blockchain, Bitcoin und andere. Das zweite Array (array2) enthält 51 (0x33) Schlüsselwörter im Zusammenhang mit Finanzinstituten und Zahlungsdiensten, darunter Bank of America, Wells Fargo, Chime und PayPal.
Eine genauere Betrachtung der Schlüsselwörter in array2 zeigt, dass der Malware-Autor einen starken Fokus auf das US-amerikanische Finanzökosystem legt und dabei große nationale Banken, regionale Institutionen, digitale Bankplattformen und weit verbreitete Online-Zahlungsdienste umfasst.

Überwachungsschleife mit Fokus auf Bankwesen und Kryptowährungen

Nach der Initialisierung der Stichwortliste und der Ergebnisdateien tritt die Malware in eine kontinuierliche Überwachungsschleife ein, die dazu dient, die Interaktionen der Benutzer mit den Finanzdienstleistungen zu verfolgen.

Für zuvor erstellte Ergebnisdateien werden zwei HashSet-Objekte erstellt, wodurch die Malware doppelte Protokollierung vermeidet und eine Aufzeichnung bereits identifizierter Übereinstimmungen beibehält.

Innerhalb einer Endlosschleife ruft die Schadsoftware wiederholt den Titel des aktuell aktiven Fensters ab.

Der erfasste Text wird mittels `.ToLower()` normalisiert, bevor er mit vordefinierten Stichwortlisten verglichen wird, die Kryptowährungsplattformen und Bankdienstleistungen enthalten. Wird eine Übereinstimmung gefunden, die noch nicht erfasst wurde, wird das entsprechende Stichwort mit `File.AppendAllText()` in eine separate Ergebnisdatei geschrieben. Zusätzlich erfasst und protokolliert die Malware alle nachfolgenden Tastatureingaben dieser Sitzung, um potenziell sensible Benutzereingaben im Zusammenhang mit Finanzaktivitäten zu sammeln.

Diese Logik verknüpft effektiv die Aktivitäten des Nutzers im Vordergrund mit gezielten Finanz-Schlüsselwörtern, was darauf hindeutet, dass die Malware selektiv Sitzungen überwacht, die Bankdienstleistungen, Zahlungsplattformen oder Kryptowährungsdienste betreffen, anstatt wahllos alle Aktivitäten zu protokollieren.

C2-Verbindung und Datenexfiltration

Die Methode smethod_5() implementiert die primäre Command-and-Control-Kommunikationsroutine (C2) der Malware. Sie versucht kontinuierlich, eine Netzwerkverbindung zu vordefinierten Remote-Servern herzustellen und verwaltet den Lebenszyklus des aktiven Kommunikationskanals. Sobald eine Verbindung erfolgreich hergestellt wurde, ermöglicht diese Routine die weitere Interaktion mit dem Remote-Server und bildet somit die Grundlage für Datenaustausch und Fernsteuerung.

Zunächst durchläuft das Binärprogramm eine Liste von fest codierten Domänen (Class15.string_0) und zugehörigen Ports (Class15.int_0).

Für jede Domänen-Port-Kombination wird ein TcpClient-Objekt erstellt. Sobald eine TCP-Verbindung hergestellt ist, wird eine Validierungsroutine (smethod_6) ausgeführt, die als Handshake-Prüfung dient, um zu bestätigen, dass der Remote-Server mit einer erwarteten Kennung antwortet.

Die in unserem Beispiel beobachtete Kennung ist die Zeichenkette „RETRO-OK-2025“. Verbindungen, die diese Validierung nicht bestehen, werden sofort geschlossen und der nächste Kandidatenserver wird versucht.
Nach erfolgreicher C2-Validierung aktiviert die Malware die RAT-Funktion, die regelmäßig erfasste Tastatureingaben in lokalen Ergebnisdateien speichert und an den C2-Server übermittelt.

Die Malware liest die gesammelten Tastatureingaben aus der Ergebnisdatei mittels `File.ReadAllText()`. Die gestohlenen Daten werden mit den Identifikationsdaten des Opfers kombiniert und mithilfe der internen Paketierungsroutine (GClass10) in eine strukturierte Nachricht verpackt. Diese Nachricht wird anschließend über den aktiven TCP-Kommunikationskanal (GClass12) an den C2-Server übertragen, wo die Nutzdaten vor der Übertragung verschlüsselt werden.
Dieser Mechanismus ermöglicht es der Malware, sensible Benutzereingaben zuverlässig zu erfassen und an die entfernte C2-Infrastruktur zu übermitteln, wodurch der Angreifer Finanz- und Anmeldeinformationen aus dem kompromittierten System gewinnen kann.

RAT-Modul

Als Remote-Access-Trojaner unterstützt die Malware eine Reihe von Fernsteuerungsfunktionen. Vom C2-Server empfangene Befehle werden über einen zentralen Dispatcher verarbeitet, der als Switch-Anweisung implementiert ist. Dieser wertet die in der GEnum1-Enumeration definierten Befehlsbezeichner aus und ruft die entsprechende Funktionalität auf.

Je nach Befehlswert werden unterschiedliche Module aufgerufen, um Operationen wie Fernüberwachung des Desktops, Dateisystemmanipulation, Befehlsausführung und Systemsteuerung durchzuführen.

Diese RAT-Funktionalität ermöglicht es Angreifern, das infizierte System interaktiv zu überwachen und zu steuern sowie Finanzdaten zu stehlen.

RAT-Befehlsfähigkeiten

Capability	Action
Fernzugriff auf Desktop / Bildschirmüberwachung	Bildschirmaufnahme starten/stoppen und Remote-Desktop-Streaming konfigurieren
Dateimanager-Operationen	Verzeichnisse durchsuchen, Dateien hoch-/herunterladen, Dateisystem verwalten
Prozess-/Systemüberwachung	Prozesse auflisten, Systeminformationen sammeln, Aufgaben verwalten
Befehlsausführung	Führen Sie Befehle oder Programme auf dem kompromittierten System aus.
Systemkontrolle	System herunterfahren/neu starten oder Malware-Client beenden
Speicher / Erweiterte Operationen	Gedächtnis- oder Prozessmanipulationsaufgaben durchführen

 

Gezielte Finanz-Keywords

CryptoCurrency
coinbase	metamask	Bitflyer	poloniex
Blockchain	trustwallet	Bitget	probit
freewallet	Bitpay	Tor	hitbtc
Brieftasche	paxful	Münzprüfer	mercatox
bitcoin	localbitcoins	Deribit	Hotbit
btc	Krypto	Bitto	digifinex
Binance	Bitfinex	Bitmart	Bitbank
kraken	bitstamp	exmo	Luno
etoro	ok	Bitpanda	Zwillinge
Coingecko	Bybit	flüssige	bitbns
coinmarketcap	Kucoin	Coinmetro	Cointiger
tradingview	huobi	bittrex

 

 

Finanzinstitute / Zahlungsplattformen
Bank of America	fifththirdbank	erste Republik	Frostbank
Wells Fargo	Huntington	Zionsbank	unbeteiligt
Verfolgungsjagd	Synchronität	Commercebank	erste Bürger
Bürgerbank	Schlüsselbank	Bank des Westens	centurylinkbank
usbank	American Express	onefinance	Synovus
Capitalone	entdecken	go2bank	erster Horizont
pnc	nbkc	grüner Punkt	ebay
tdbank	sofi	einfach	paypal
treu	Glockenspiel	Aspiration	payeer
ally	Varobank	nbkcbank	amazon
Bbt	axosbank	Flagge	Kasse
Sonnenvertrauen	Citizensbank	BMO	Zahlung
Regionen	m&tbank	Everbank

Fazit

Operation DualScript ist eine mehrstufige Malware-Kampagne, die legitime Windows-Komponenten wie geplante Aufgaben, VBScript und PowerShell missbraucht, um sich dauerhaft im System einzunisten und gleichzeitig die Festplattenbelegung zu minimieren. Der Angriff erfolgt über zwei parallele Ketten: einen webbasierten PowerShell-Loader, der einen Kryptografie-Zwischenablage-Hijacker einspielt, und eine zweite PowerShell-Loader-Kette, die das RetroRAT-Implantat direkt im Arbeitsspeicher ausführt.

Durch die Kombination von Finanzdiebstahl mittels Wallet-Manipulation mit Fernzugriffsfunktionen erreichen die Angreifer sowohl gezielten Kryptowährungsdiebstahl als auch die dauerhafte Überwachung des Systems. Diese Kampagne verdeutlicht den zunehmenden Missbrauch vertrauenswürdiger Systemdienstprogramme und In-Memory-Ausführungstechniken zur Umgehung herkömmlicher Erkennungsmechanismen.

Kompromissindikatoren

Dateibasiert

Artefakt	MD5-Hashing	Detection
RetroRat	7546ada1e3144371724db209ba4c5f37	Trojan.RetroRAT.S3882604
PiceVid.ps1	173b27e7541427929da72ebf37c6db8e	Script.RetroRat.50517.GC
PiceVid.vbs	243af69d85550232da45f5a30703a4a3	Script.RetroRat.50517.GC
ppamproServiceZuneWAL.ps1	43cac07a501e7a717023e0fa8f6111e0	Script.Trojan.49593.GC
ppamproServiceZuneWAL.vbs	163c38bd7ff7dd27e88eaef1a7a4819f	Ps.Trojan.50374
Wallet.txt	1dc82fd02a0db3e338128b6f587d7122	Script.RetroRat.50517.GC

Netzwerkbasiert

URL / Domain	Kategorie
info[.]1cooldns[.]com	Malware
floatsdk[.]1cooldns[.]com	Malware
thewpiratebay[.]st	Malware

Gehrungskartierung

Taktik	Technik	Technik-ID
Beharrlichkeit	Geplante Aufgabe/Job	T1053.005
Ausführung	Befehls- und Skriptinterpreter: PowerShell	T1059.001
Ausführung	Befehls- und Skriptinterpreter: VBScript	T1059.005
Verteidigungsflucht	Verschleierte/komprimierte Dateien und Informationen	T1027
Verteidigungsflucht	Verteidigung beeinträchtigen: Werkzeuge deaktivieren oder modifizieren (Umgehung der Ausführungsrichtlinie)	T1562.001
Bewertung	Prozesserkennung	T1057
Kollektion	Eingabeerfassung: Keylogging	T1056.001
Kollektion	Daten aus der Zwischenablage	T1115
Kollektion	Screen Capture	T1113
Zugang zu Anmeldeinformationen	Eingabeerfassung	T1056
Command and Control	Anwendungsschichtprotokoll (Webprotokolle)	T1071
Exfiltration	Exfiltration über C2-Kanal	T1041

 

Autoren:
Niraj Makasare
Prashil Moon
Rayapati Lakshmi Prasanna Sai