Finestre di Login Fasulle: GUI Input Capture (T1056.002)

La simulazione di questa tecnica in laboratorio è sorprendentemente semplice, e questo è parte del problema. Ogni piattaforma offre strumenti nativi per generare finestre di dialogo che catturano input, senza bisogno di compilare codice o scaricare framework esotici.

Windows — PowerShell CredentialRequest

Il metodo più diretto sfrutta la classe CredentialUI tramite PowerShell. Il cmdlet nativo genera un prompt identico alle finestre di autenticazione di Windows:

Get-Credential -Message "Sessione scaduta. Reinserire le credenziali aziendali."

Il risultato è un oggetto PSCredential dal quale estrarre la password in chiaro è banale:

$cred = Get-Credential; $cred.GetNetworkCredential().Password

Per un approccio più realistico che simuli un prompt UAC, il framework Invoke-CredentialPhisher di Matt Nelson (open source) genera finestre di dialogo con l'aspetto grafico del prompt di elevazione privilegi di Windows. In alternativa, il modulo credphisher.py di SILENTTRINITY (open source) automatizza lo stesso concetto all'interno di un'operazione C2 strutturata.

macOS — AppleScript

Su macOS, il vettore più comune è AppleScript. Un singolo comando produce una finestra di dialogo indistinguibile dai prompt nativi di sistema:

osascript -e 'display dialog "macOS needs to access System Settings" default answer "" with hidden answer'

Il parametro with hidden answer maschera i caratteri digitati, esattamente come farebbe un prompt di sistema legittimo. Cuckoo Stealer in ambiente reale utilizza proprio questa logica per presentare alla vittima una finestra "macOS needs to access System Settings". Per validare l'artefatto, Swift Playgrounds o un semplice script Objective-C che invoca NSAlert raggiungono lo stesso obiettivo.

Linux — Zenity e Kdialog

Su Linux, zenity (open source) e kdialog (open source) sono utility grafiche pre-installate su molte distribuzioni desktop:

zenity --password --title="Autenticazione richiesta" --text="Inserire la password per continuare"

kdialog --password "Sessione sudo scaduta. Reinserire la password:"

L'output va a stdout ed è immediatamente catturabile da uno shell script. In un red team engagement, la catena efficace consiste nell'accoppiare il prompt a un check di attività utente — ad esempio monitorando le finestre attive con xdotool getactivewindow getwindowname (open source) — per far apparire la finestra di dialogo nel momento in cui l'utente interagisce con un browser sul portale aziendale, massimizzando la verosimiglianza.

Per tutte le piattaforme, il consiglio è documentare nel report non solo la riuscita della cattura, ma la latenza tra la presentazione del prompt e l'inserimento delle credenziali: un tempo molto breve indica quanto sia automatica e non critica la risposta dell'utente.

Il rilevamento della GUI Input Capture è una sfida di contesto: ogni strumento usato dall'attaccante — PowerShell, AppleScript, zenity — è legittimo e usato quotidianamente dagli utenti e dagli amministratori. La chiave non è bloccare il tool, ma identificare la combinazione anomala di parent process, contenuto del comando e contesto di esecuzione.

Windows: Sysmon e PowerShell Logging

Le log source critiche sono Sysmon (EventID 1 per la creazione processo) e il canale PowerShell Script Block Logging (EventID 4104). La regola DET0521/AN1440 intercetta l'uso di Get-Credential, CredentialUI o pattern come "Enter your password" e "CredentialRequired" nelle command line. Il tuning fondamentale riguarda il parent process: un prompt di credenziali generato da explorer.exe o da un installer firmato è legittimo; lo stesso prompt figlio di cmd.exe, wscript.exe o powershell.exe lanciato da una directory temporanea è sospetto.

La correlazione temporale aggiunge precisione: se un'esecuzione di script PowerShell e la comparsa di un processo con finestra UI avvengono entro pochi secondi, la confidence dell'alert sale. Attenzione ai falsi positivi dagli strumenti IT di help desk remoto che possono generare prompt automatici — whitelist per hash e path certificati.

macOS: Unified Log e osquery

Su macOS la detection (AN1442) punta sull'intercettazione di AppleScript contenente display dialog con with hidden answer, una combinazione che indica esplicitamente un campo password mascherato. Osquery (open source) consente query schedulabili sulla tabella processes per individuare istanze di osascript con argomenti sospetti. Il tuning consiste nell'escludere automazioni Apple-signed e workflow Automator legittimi, filtrando per il campo ProcessPath e la firma del code signing.

Linux: auditd e monitoraggio shell

La regola AN1441 monitora l'invocazione di zenity, kdialog o dialog da shell non interattive o processi in background. Tramite auditd (open source), una regola sul syscall execve filtrata per questi binari cattura ogni invocazione:

-a always,exit -F arch=b64 -S execve -F path=/usr/bin/zenity -k gui_capture

Il falso positivo principale arriva dagli script di configurazione delle distribuzioni desktop (installer, aggiornamenti grafici). Il discrimine è il parent process: se zenity viene lanciato da uno script in /tmp o da una shell figlia di un processo di rete, l'alert è giustificato.

Per tutte le piattaforme, la mitigazione primaria resta M1017 — User Training: simulazioni di phishing che includano prompt GUI fasulli aiutano gli utenti a riconoscere la differenza tra un prompt di sistema atteso e uno non sollecitato.

L'analisi forense della GUI Input Capture produce artefatti diversi per piattaforma, ma la logica investigativa è sempre la stessa: ricostruire chi ha generato il prompt, quando è apparso e dove sono finite le credenziali catturate.

Windows: artefatti chiave

Il punto di partenza è Sysmon EventID 1 — la creazione del processo. Cercate istanze di powershell.exe o cscript.exe la cui command line contenga Get-Credential, CredUI, System.Management.Automation.PSCredential o stringhe di prompt sospette. L'EventID 4104 del log PowerShell/Operational registra l'intero script block, consentendo di ricostruire la logica dello script anche se il file è stato cancellato.

Per correlare, verificate i Prefetch del sistema: il file .pf di powershell.exe riporta i timestamp delle ultime otto esecuzioni e i file acceduti durante il run, permettendo di agganciare lo script al suo artefatto su disco. Se l'attaccante ha usato un binario compilato (ad esempio un eseguibile .NET che invoca CredentialDialog), l'analisi degli Amcache e Shimcache fornisce evidenza della prima e ultima esecuzione.

Un passaggio spesso trascurato: verificate la clipboard history di Windows 10/11. Se la vittima ha copiato la password prima di incollarla nel prompt fasullo, il contenuto può persistere nel database della clipboard.

macOS: Unified Log e file di persistenza

Su macOS, il Unified Log è la fonte primaria. Filtrate per il subsystem com.apple.ScriptEditor e per il processo osascript, cercando messaggi che contengano display dialog. Il timestamp del log, correlato con i login item in ~/Library/LaunchAgents/ e /Library/LaunchDaemons/, consente di determinare se il prompt era agganciato a un meccanismo di persistenza.

XCSSET, ad esempio, sfrutta il processo legittimo SafariForWebKitDevelopment per presentare finestre di dialogo native. In un caso come questo, la verifica del code signing del binario invocante è cruciale: un binario Safari autentico sarà firmato Apple, mentre una copia trojanizzata avrà una firma diversa o assente. L'utility codesign -dvvv restituisce queste informazioni.

Per i malware della famiglia macOS come Proton, iKitten, Keydnap, Bundlore, Dok e Calisto, l'artefatto comune è un file plist di persistenza in LaunchAgents che punta a uno script o binario responsabile del prompt. Raccogliete tutti i plist con timestamp di creazione anomalo e analizzatene il contenuto.

Linux: auditd e bash history

I log di auditd con il syscall execve registrano ogni invocazione di zenity o kdialog, comprensiva di argomenti. Incrociate con la bash_history (o equivalente zsh/fish) dell'utente compromesso per ricostruire se il comando è stato eseguito interattivamente o da uno script. L'artefatto da cercare nei file temporanei è un output redirected — ad esempio zenity --password > /tmp/.cache_auth — che rivela dove le credenziali sono state memorizzate prima dell'esfiltrazione.

La GUI Input Capture presenta un panorama peculiare: pochi gruppi APT documentati ma un ecosistema software molto ricco, il che suggerisce un uso diffuso nel crimeware e un'adozione selettiva da parte di attori state-sponsored.

RedCurl (G1039) è un gruppo specializzato in spionaggio corporativo che colpisce organizzazioni a livello globale, con particolare attenzione a studi legali, società di consulenza e aziende tecnologiche. La loro implementazione è chirurgica: generano un pop-up che replica l'interfaccia di Microsoft Outlook, inducendo la vittima a reinserire le credenziali di posta. Questa scelta non è casuale — l'accesso alla mailbox è il cuore delle operazioni di RedCurl, che punta alla sottrazione di documenti riservati e comunicazioni interne. Il prompt Outlook si inserisce naturalmente nel flusso di lavoro dell'utente, rendendo il sospetto quasi nullo.

FIN4 (G0085) opera con un focus finanziario, prendendo di mira soprattutto organizzazioni del settore farmaceutico e sanitario per ottenere informazioni privilegiate su fusioni, acquisizioni e trial clinici. Il loro approccio alla GUI Input Capture è diretto: presentano prompt di autenticazione Windows spoofati che simulano una richiesta di re-autenticazione di sistema. Le credenziali raccolte vengono utilizzate per accedere alle caselle email e alle piattaforme documentali delle vittime.

Un pattern significativo emerge dal software: la piattaforma macOS è sovrarappresentata. Proton, iKitten, Keydnap, Bundlore, Dok, Calisto, XCSSET e Cuckoo Stealer — otto degli undici software — colpiscono macOS. Questo riflette un dato strutturale: macOS offre con AppleScript uno strumento nativo e potentissimo per generare prompt credibili con poche righe di codice, e gli utenti Mac tendono storicamente a percepire il proprio sistema come "più sicuro", abbassando la guardia davanti a un prompt di sistema.

Sul versante banking, Metamorfo e Mispadu rappresentano il filone latinoamericano dei trojan bancari. Entrambi sovrappongono overlay grafici ai siti di online banking — Metamorfo con form fasulle visibili sopra la pagina reale, Mispadu con immagini a schermo intero che bloccano l'accesso al sito legittimo. Questo sotto-pattern della GUI Input Capture è specifico del crimeware finanziario e si concentra geograficamente su Brasile, Messico e altri paesi dell'America Latina.

Il tool SILENTTRINITY con il suo modulo credphisher.py rappresenta invece l'adozione della tecnica nel red teaming e, di riflesso, da parte di avversari che utilizzano framework offensivi open source. La sua presenza indica che la GUI Input Capture è accessibile anche ad attori meno sofisticati che si appoggiano a strumenti pronti all'uso.

L'analisi predittiva suggerisce un'evoluzione verso prompt sempre più contestuali: accoppiati con Browser Information Discovery e Application Window Discovery, i futuri prompt appariranno esattamente nel momento in cui l'utente accede a una risorsa sensibile, rendendo la detection basata esclusivamente sul comportamento utente sempre più complessa.

Framework MITRE ATT&CK v16 — T1056.002 (GUI Input Capture), TA0009, TA0006. Gruppi: G1039, G0085. Software: S0279, S0278, S0455, S0274, S0276, S0482, S0281, S1122, S0658, S0692, S1153. Mitigazione: M1017. Detection: DET0521 (AN1440, AN1441, AN1442). Integrato con conoscenza professionale per tool e procedure operative.