https://cyberveille.ch/pays/%C3%A9tats-unis-cible-principale-mondial/ Recent content in États-Unis (Cible Principale), Mondial on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Tue, 31 Mar 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-03-31-operation-dualscript-campagne-powershell-multi-etapes-ciblant-crypto-et-finance-via-retrorat/ Tue, 31 Mar 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-03-31-operation-dualscript-campagne-powershell-multi-etapes-ciblant-crypto-et-finance-via-retrorat/ <h2 id="-contexte">🔍 Contexte</h2> <p>Analyse technique publiée le 31 mars 2026 par Seqrite (équipe de recherche : Niraj Makasare, Prashil Moon, Rayapati Lakshmi Prasanna Sai). L&rsquo;investigation a débuté suite à la détection de <strong>tâches planifiées Windows suspectes</strong> exécutant des fichiers VBScript depuis des répertoires accessibles aux utilisateurs.</p> <h2 id="-mécanisme-dinfection">⚙️ Mécanisme d&rsquo;infection</h2> <p>L&rsquo;attaque repose sur <strong>deux chaînes d&rsquo;exécution parallèles</strong> déclenchées via des Scheduled Tasks :</p> <ul> <li><strong>Chaîne 1</strong> : <code>ppamproServiceZuneWAL.vbs</code> → <code>ppamproServiceZuneWAL.ps1</code> → téléchargement de <code>Wallet.txt</code> depuis <code>https://anycourse.net/wp-content/uploads/2025/04/Wallet.txt</code> → exécution en mémoire d&rsquo;un <strong>hijacker de presse-papiers</strong> ciblant 29 cryptomonnaies (BTC, ETH, XMR, etc.)</li> <li><strong>Chaîne 2</strong> : <code>PiceVid.vbs</code> → <code>PiceVid.ps1</code> → déploiement en mémoire du <strong>RAT RetroRAT</strong> via <code>Invoke-Expression</code></li> </ul> <h2 id="-retrorat--analyse-du-payload">🦠 RetroRAT – Analyse du payload</h2> <p>RetroRAT est un <strong>Remote Access Trojan</strong> financièrement motivé avec les capacités suivantes :</p>