PEAKLIGHT: Il malware fantasma
che si nasconde nella RAM

by Maurizio / lunedì, 26 Agosto 2024 / Published in Analisi Tecnica, HACKER

Ciao, cyber-guerrieri e paranoici della sicurezza! Oggi ci immergiamo nel mondo oscuro di PEAKLIGHT, un malware stealth che fa sembrare Houdini un principiante. Questo furbacchione si nasconde nella RAM del vostro PC come un vampiro digitale, evitando di lasciare tracce sull’hard disk. Geniale per loro, un incubo per noi!

Table of Contents

L’anatomia di un incubo digitale

L’esca cinematografica: Tutto inizia con file LNK a tema film. Perché anche i criminali informatici sono cinefili… o forse solo furbi manipolatori.
Il balletto dei dropper: Questi LNK eseguono droppers JavaScript offuscati. È come se il codice indossasse un costume da Carnevale, ma molto meno divertente.
PowerShell, il fedele servitore: Il dropper decripta ed esegue PEAKLIGHT, un downloader basato su PowerShell. Microsoft voleva uno strumento potente, i criminali hanno detto “Grazie mille!”.
Lo shopping malevolo: PEAKLIGHT scarica file ZIP da CDN apparentemente innocenti. È come ordinare una pizza, ma invece ti arriva un virus.
Il gran finale: Vengono eseguiti infostealer come LUMMAC.V2, SHADOWLADDER e CRYPTBOT. Nomi che sembrano personaggi di un film di spionaggio, ma sono molto più pericolosi.

Pillole tecniche per i veri nerd della sicurezza

Esecuzione proxy di binari di sistema

Utilizzano forfiles.exe o wildcard di PowerShell per lanciare mshta.exe.
Questo permette di bypassare alcune restrizioni di sicurezza e di nascondere l’esecuzione di codice malevolo dietro processi legittimi.

Tecniche di offuscamento avanzate

Codifica ASCII decimale e String.fromCharCode() per il JavaScript.
PowerShell pesantemente offuscato con tecniche di compressione e codifica multiple.
L’obiettivo è rendere il codice illeggibile per gli analisti e difficile da rilevare per gli antivirus.

Crittografia a strati

AES-CBC con payload codificati in esadecimale.
AES-ECB con compressione GZIP per i payload in base64.
Questa doppia strategia rende più complessa l’analisi statica del malware.

Tecniche di evasione sofisticate

Esecuzione solo in memoria: il malware non tocca mai il disco, rendendo la detection tradizionale inefficace.
Uso di CDN legittime: il traffico malevolo si mescola con quello legittimo, complicando il filtraggio.
Uso di video di copertura: mentre l’utente guarda un video, il malware lavora indisturbato.

Approfondimento: La catena di infezione

Fase iniziale: L’utente apre un file LNK apparentemente innocuo.
Esecuzione del dropper: Il file LNK attiva uno script JavaScript offuscato.
Decrittazione: Lo script decodifica e esegue il payload PowerShell di PEAKLIGHT.
Download stealth: PEAKLIGHT scarica altri componenti da CDN, mascherandoli come traffico legittimo.
Installazione degli infostealer: Vengono scaricati e eseguiti vari malware specializzati nel furto di informazioni.
Persistenza: Il malware si assicura di rimanere attivo anche dopo i riavvii, utilizzando tecniche come DLL side-loading.

Il kit dell’ethical hacker: Come difendersi

Aggiornate il vostro antivirus, geni! Ma non illudetevi, contro questi ninja serve un approccio multi-strato.
Implementate il monitoraggio attivo della RAM. Sì, è come cercare un ago in un pagliaio digitale, ma necessario.
Utilizzate soluzioni EDR (Endpoint Detection and Response). Perché a volte, per trovare un ladro, serve un altro ladro (ma buono).
Sandbox everything! Trattate ogni file come un potenziale criminale. Colpevole fino a prova contraria!
Hardening dei sistemi: Disabilitate l’esecuzione di script non necessari. PowerShell è potente, ma anche pericoloso nelle mani sbagliate.
Network segmentation: Isolate le parti critiche della vostra rete. È come mettere ogni gioiello in una cassaforte separata.
Educate i vostri utenti: Sì, lo so, è come insegnare a un gatto a non fare le fusa, ma provateci. E poi riprovate. E poi piangete un po’.
Implementate una strategia di patch management rigorosa: Perché le vulnerabilità non patched sono come porte aperte per i ladri digitali.

Indicatori di Compromissione (IoC) da tenere d’occhio

Network-Based IOCs

PEAKLIGHT NBIs:

hxxps://fatodex.b-cdn[.]net/fatodex
hxxps://matodown.b-cdn[.]net/matodown
hxxps://potexo.b-cdn[.]net/potexo

LUMMAC.V2 C2s:

relaxtionflouwerwi[.]shop
deprivedrinkyfaiir[.]shop
detailbaconroollyws[.]shop
messtimetabledkolvk[.]shop
considerrycurrentyws[.]shop
understanndtytonyguw[.]shop
patternapplauderw[.]shop
horsedwollfedrwos[.]shop
tropicalironexpressiw[.]shop

CRYPTBOT C2s:

hxxp://gceight8vt[.]top/upload.php
hxxps://brewdogebar[.]com/code.vue

SHADOWLADDER:

hxxp://62.133.61[.]56/Downloads/Full%20Video%20HD%20(1080p).lnk
hxxps://fatodex.b-cdn[.]net/K1.zip
hxxps://fatodex.b-cdn[.]net/K2.zip
hxxps://forikabrof[.]click/flkhfaiouwrqkhfasdrhfsa.png
hxxps://matodown.b-cdn[.]net/K1.zip
hxxps://matodown.b-cdn[.]net/K2.zip
hxxps://nextomax.b-cdn[.]net/L1.zip
hxxps://nextomax.b-cdn[.]net/L2.zip
hxxps://potexo.b-cdn[.]net/K1.zip
hxxps://potexo.b-cdn[.]net/K2.zip

Host-Based IOCs

CRYPTBOT:

erefgojgbu (MD5: d6ea5dcdb2f88a65399f87809f43f83c)
L2.zip (MD5: 307f40ebc6d8a207455c96d34759f1f3)
Sеtup.exe (MD5: d8e21ac76b228ec144217d1e85df2693)

LUMMAC.V2:

oqnhustu (MD5: 43939986a671821203bf9b6ba52a51b4)
WebView2Loader.dll (MD5: 58c4ba9385139785e9700898cb097538)

PEAKLIGHT:

Downloader (MD5: 95361f5f264e58d6ca4538e7b436ab67)
Downloader (MD5: b716a1d24c05c6adee11ca7388b728d3)

SHADOWLADDER:

Aaaa.exe (MD5: b15bac961f62448c872e1dc6d3931016)
bentonite.cfg (MD5: e7c43dc3ec4360374043b872f934ec9e)
cymophane.doc (MD5: f98e0d9599d40ed032ff16de242987ca)
K1.zip (MD5: b6b8164feca728db02e6b636162a2960)
K1.zip (MD5: bb9641e3035ae8c0ab6117ecc82b65a1)
K2.zip (MD5: 236c709bbcb92aa30b7e67705ef7f55a)
K2.zip (MD5: d7aff07e7cd20a5419f2411f6330f530)
L1.zip (MD5: a6c4d2072961e9a8c98712c46be588f8)
LiteSkinUtils.dll (MD5: 059d94e8944eca4056e92d60f7044f14)
toughie.txt (MD5: dfdc331e575dae6660d6ed3c03d214bd)
WCLDll.dll (MD5: 47eee41b822d953c47434377006e01fe)

Conclusione: Paranoia è la nostra amica

PEAKLIGHT è la prova che nel mondo della cybersecurity, la paranoia non è un difetto, ma una virtù. Questi attacchi sono sofisticati, stealth e in continua evoluzione. La nostra difesa deve essere altrettanto dinamica e multi-livello.

Ricordate: in un mondo di PEAKLIGHT, siate voi la luce che li scova! Manteniamo alta la guardia, aggiorniamoci costantemente e, per l’amor del cielo, pensateci due volte prima di cliccare su quel link del “nuovo film in anteprima”!

E la prossima volta che qualcuno vi dirà che siete troppo paranoici riguardo alla sicurezza informatica, mostrategli questo articolo. Poi ridete insieme… e poi tornate subito a controllare i vostri sistemi!

Cccessiva, è solo perché non avete ancora visto cosa può fare un vero attacco. Dormite sonni tranquilli… se ci riuscite!

Maurizio

Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:

Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?

Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!

Tagged under: droppers, malware, PEAKLIGHT, powershell