🔍 Contexte

Analyse technique publiée le 31 mars 2026 par Seqrite (équipe de recherche : Niraj Makasare, Prashil Moon, Rayapati Lakshmi Prasanna Sai). L’investigation a débuté suite à la détection de tâches planifiées Windows suspectes exécutant des fichiers VBScript depuis des répertoires accessibles aux utilisateurs.

⚙️ Mécanisme d’infection

L’attaque repose sur deux chaînes d’exécution parallèles déclenchées via des Scheduled Tasks :

  • Chaîne 1 : ppamproServiceZuneWAL.vbsppamproServiceZuneWAL.ps1 → téléchargement de Wallet.txt depuis https://anycourse.net/wp-content/uploads/2025/04/Wallet.txt → exécution en mémoire d’un hijacker de presse-papiers ciblant 29 cryptomonnaies (BTC, ETH, XMR, etc.)
  • Chaîne 2 : PiceVid.vbsPiceVid.ps1 → déploiement en mémoire du RAT RetroRAT via Invoke-Expression

🦠 RetroRAT – Analyse du payload

RetroRAT est un Remote Access Trojan financièrement motivé avec les capacités suivantes :

  • Hook clavier global via SetWindowsHookExA() (WH_KEYBOARD_LL)
  • Surveillance des fenêtres actives : 47 mots-clés crypto (coinbase, metamask, binance…) et 51 mots-clés bancaires US (bankofamerica, wellsfargo, chase, paypal…)
  • Journalisation dans crypto_results.txt et banks_results.txt sous %localappdata%
  • C2 TCP avec handshake d’identification RETRO-OK-2025
  • Exfiltration chiffrée des données capturées vers les serveurs C2
  • Commandes RAT : capture d’écran, gestion de fichiers, exécution de commandes, contrôle système, manipulation mémoire

🛡️ Techniques d’évasion

  • Vérification de noms d’utilisateurs sandbox (“John Doe”, “virus”, “test user”…)
  • Détection de machines virtuelles (répertoires, drivers, services VM)
  • Obfuscation des noms de méthodes/classes avec caractères Unicode, chaînes encodées reconstruites à l’exécution
  • Mutex pour éviter la réinfection
  • Exécution entièrement en mémoire (pas d’artefacts disque)
  • Validation d’instance unique via WMI

📡 Infrastructure C2

Domaines C2 hardcodés : info.1cooldns.com, floatsdk.1cooldns.com, thewpiratebay.st

📄 Type d’article

Analyse technique détaillée d’une campagne malveillante active, destinée à fournir des IOCs exploitables et une compréhension approfondie du comportement du malware pour les équipes CTI et SOC.

🧠 TTPs et IOCs détectés

TTP

  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.005 — Command and Scripting Interpreter: VBScript (Execution)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1057 — Process Discovery (Discovery)
  • T1056.001 — Input Capture: Keylogging (Collection)
  • T1115 — Clipboard Data (Collection)
  • T1113 — Screen Capture (Collection)
  • T1056 — Input Capture (Credential Access)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

IOC

  • Domaines : anycourse.net
  • Domaines : info.1cooldns.com
  • Domaines : floatsdk.1cooldns.com
  • Domaines : thewpiratebay.st
  • URLs : https://anycourse.net/wp-content/uploads/2025/04/Wallet.txt
  • MD5 : 7546ada1e3144371724db209ba4c5f37
  • MD5 : 173b27e7541427929da72ebf37c6db8e
  • MD5 : 243af69d85550232da45f5a30703a4a3
  • MD5 : 43cac07a501e7a717023e0fa8f6111e0
  • MD5 : 163c38bd7ff7dd27e88eaef1a7a4819f
  • MD5 : 1dc82fd02a0db3e338128b6f587d7122
  • Fichiers : ppamproServiceZuneWAL.vbs
  • Fichiers : ppamproServiceZuneWAL.ps1
  • Fichiers : PiceVid.vbs
  • Fichiers : PiceVid.ps1
  • Fichiers : Wallet.txt
  • Fichiers : crypto_results.txt
  • Fichiers : banks_results.txt

Malware / Outils

  • RetroRAT (rat)
  • ppamproServiceZuneWAL.ps1 (loader)
  • PiceVid.ps1 (loader)

🔗 Source originale : https://www.seqrite.com/blog/operation-dualscript-powershell-malware-retrorat-analysis/