Cattura Input GUI: Input Capture - GUI Input Capture (T1056.002)

Su Windows, PowerShell offre capacità native per creare prompt credenziali convincenti. Il comando base sfrutta l'API Windows per generare una dialog box identica a quella UAC:

$cred = Get-Credential -Message "Windows Security: Enter credentials to continue"

Per aumentare la credibilità, personalizza il prompt simulando applicazioni specifiche:

Add-Type -AssemblyName System.Windows.Forms
$form = New-Object System.Windows.Forms.Form
$form.Text = "Microsoft Office 365 - Sign In Required"

Su macOS, AppleScript permette controllo granulare sull'aspetto del prompt. XCSSET utilizza questa tecnica invocando direttamente processi di sistema:

osascript -e 'display dialog "macOS needs to access System Settings" default answer "" with hidden answer with title "System Preferences" with icon caution'

Il trucco sta nel timing: monitora l'attività utente con Get-Process su Windows o ps aux su macOS, quindi presenta il prompt quando l'utente sta già interagendo con applicazioni sensibili.

Linux richiede un approccio diverso. I tool zenity e kdialog creano finestre grafiche da script shell:

zenity --password --title="Authentication Required" --text="Enter your password to continue:"

Per replicare l'attacco di RedCurl, combina il prompt con monitoraggio di Outlook. Quando rilevi outlook.exe in esecuzione, lancia immediatamente una finestra che simula l'autenticazione email. La chiave è la contestualizzazione: il prompt deve apparire nel momento e contesto giusti per non destare sospetti.

La detection richiede correlazione tra processi e timing. DET0521 identifica tre pattern comportamentali chiave per ogni sistema operativo.

Su Windows, Sysmon EventID 1 cattura la creazione di processi PowerShell che generano prompt. La chiave sta nel parent process: se powershell.exe spawna dialog box da cmd.exe o script non firmati, è anomalo. Configura la detection rule:

ParentProcessName != "explorer.exe" AND 
CommandLine contains ["Get-Credential", "PromptForCredential"]

Il falso positivo principale deriva da script amministrativi legittimi. Riducilo creando whitelist basate su hash dei tuoi script autorizzati e verificando la firma digitale del parent process.

Per macOS, il unified log registra ogni invocazione di AppleScript. Cerca pattern come "display dialog" con "hidden answer" - combinazione tipica per mascherare l'input password. Cuckoo Stealer usa esattamente questa tecnica.

Linux presenta sfide uniche: auditd deve monitorare syscall per zenity/kdialog. La regola base:

-a always,exit -F arch=b64 -S execve -F exe=/usr/bin/zenity -k gui_prompt

Correla questi eventi con il contesto: un prompt lanciato da uno script in /tmp o da una shell session remota è sicuramente malevolo. Implementa time-window correlation di 5 minuti tra esecuzione script e apparizione prompt per catturare pattern come quelli di Metamorfo.

Gli artefatti di GUI capture sono effimeri ma tracciabili. Su Windows, il Prefetch registra esecuzioni di powershell.exe con timestamp precisi. Incrocia questi dati con Windows Event Log 4688 per ricostruire la catena di esecuzione.

La PowerShell Transcript Logging (se abilitata) contiene i comandi esatti utilizzati. Cerca stringhe come "System.Management.Automation.PSCredential" nei file di trascrizione in %APPDATA%\Microsoft\Windows\PowerShell\PSReadline.

Su macOS, il sistema mantiene tracce in multiple location. Il file ~/Library/Logs/DiagnosticReports può contenere crash report di processi AppleScript malevoli. Proton e Calisto lasciano tracce specifiche nei log di sistema quando invocano dialog nativi.

La timeline reconstruction parte dall'identificazione del primo prompt sospetto. Usa log show --predicate 'process == "osascript"' per estrarre tutti gli eventi AppleScript nell'intervallo temporale. Correla con:

• Login.log per verificare se le credenziali catturate sono state riutilizzate
• Bash history per identificare comandi eseguiti pre/post prompt
• Network connections per vedere se i dati sono stati esfiltrati

FIN4 tipicamente esegue la cattura credenziali entro 30 minuti dall'initial access. Cerca questa finestra temporale nei tuoi artifact. Il pattern comune: dropper → persistence → credential prompt → lateral movement.

FIN4 rappresenta l'approccio mirato: gruppo financially-motivated che utilizza spoofed prompts specificamente contro vittime corporate con Windows Authentication. Il loro modus operandi prevede reconnaissance approfondita per identificare i sistemi di autenticazione in uso, seguita da prompt customizzati che replicano esattamente l'ambiente target.

RedCurl dimostra evoluzione tattica: specializzazione su Microsoft Outlook con timing preciso durante le sessioni email attive. Questo gruppo opera primariamente in EMEA con focus su aziende che utilizzano Office 365.

Il malware landscape mostra convergenza tecnologica. Metamorfo (banking trojan latinoamericano) e Mispadu (sua variante) utilizzano overlay su siti bancari - evoluzione della tecnica base verso target ad alto valore. Entrambi mostrano capacità di adattamento regionale con prompt in portoghese e spagnolo.

L'ecosistema macOS presenta cluster interessanti: Calisto, Keydnap, iKitten e Proton condividono codice per la generazione di prompt. Questo suggerisce un developer comune o marketplace underground per moduli di cattura credenziali Mac.

XCSSET rappresenta l'innovazione: sfrutta processi di sistema legittimi (SafariForWebKitDevelopment) per aumentare credibilità. Aspettati evoluzione verso abuse di altri processi Apple-signed.

I trend emergenti indicano movimento verso prompt context-aware che si adattano all'applicazione in foreground. La prossima evoluzione probabilmente includerà AI per generare testo prompt personalizzato basato sul comportamento utente osservato.

Framework MITRE ATT&CK per catalogazione tecniche e gruppi APT. Analisi malware basata su sandbox report pubblici di Calisto, XCSSET, Metamorfo. Detection rules derivate da Sigma rules repository e osquery configurations per ambienti enterprise.