Ciao, cyber-guerrieri e paranoici della sicurezza! Oggi ci immergiamo nel mondo oscuro di PEAKLIGHT, un malware stealth che fa sembrare Houdini un principiante. Questo furbacchione si nasconde nella RAM del vostro PC come un vampiro digitale, evitando di lasciare tracce sull’hard disk. Geniale per loro, un incubo per noi!
L’anatomia di un incubo digitale
- L’esca cinematografica: Tutto inizia con file LNK a tema film. Perché anche i criminali informatici sono cinefili… o forse solo furbi manipolatori.
- Il balletto dei dropper: Questi LNK eseguono droppers JavaScript offuscati. È come se il codice indossasse un costume da Carnevale, ma molto meno divertente.
- PowerShell, il fedele servitore: Il dropper decripta ed esegue PEAKLIGHT, un downloader basato su PowerShell. Microsoft voleva uno strumento potente, i criminali hanno detto “Grazie mille!”.
- Lo shopping malevolo: PEAKLIGHT scarica file ZIP da CDN apparentemente innocenti. È come ordinare una pizza, ma invece ti arriva un virus.
- Il gran finale: Vengono eseguiti infostealer come LUMMAC.V2, SHADOWLADDER e CRYPTBOT. Nomi che sembrano personaggi di un film di spionaggio, ma sono molto più pericolosi.
Pillole tecniche per i veri nerd della sicurezza
Esecuzione proxy di binari di sistema
- Utilizzano
forfiles.exe
o wildcard di PowerShell per lanciaremshta.exe
. - Questo permette di bypassare alcune restrizioni di sicurezza e di nascondere l’esecuzione di codice malevolo dietro processi legittimi.
Tecniche di offuscamento avanzate
- Codifica ASCII decimale e
String.fromCharCode()
per il JavaScript. - PowerShell pesantemente offuscato con tecniche di compressione e codifica multiple.
- L’obiettivo è rendere il codice illeggibile per gli analisti e difficile da rilevare per gli antivirus.
Crittografia a strati
- AES-CBC con payload codificati in esadecimale.
- AES-ECB con compressione GZIP per i payload in base64.
- Questa doppia strategia rende più complessa l’analisi statica del malware.
Tecniche di evasione sofisticate
- Esecuzione solo in memoria: il malware non tocca mai il disco, rendendo la detection tradizionale inefficace.
- Uso di CDN legittime: il traffico malevolo si mescola con quello legittimo, complicando il filtraggio.
- Uso di video di copertura: mentre l’utente guarda un video, il malware lavora indisturbato.
Approfondimento: La catena di infezione
- Fase iniziale: L’utente apre un file LNK apparentemente innocuo.
- Esecuzione del dropper: Il file LNK attiva uno script JavaScript offuscato.
- Decrittazione: Lo script decodifica e esegue il payload PowerShell di PEAKLIGHT.
- Download stealth: PEAKLIGHT scarica altri componenti da CDN, mascherandoli come traffico legittimo.
- Installazione degli infostealer: Vengono scaricati e eseguiti vari malware specializzati nel furto di informazioni.
- Persistenza: Il malware si assicura di rimanere attivo anche dopo i riavvii, utilizzando tecniche come DLL side-loading.
Il kit dell’ethical hacker: Come difendersi
- Aggiornate il vostro antivirus, geni! Ma non illudetevi, contro questi ninja serve un approccio multi-strato.
- Implementate il monitoraggio attivo della RAM. Sì, è come cercare un ago in un pagliaio digitale, ma necessario.
- Utilizzate soluzioni EDR (Endpoint Detection and Response). Perché a volte, per trovare un ladro, serve un altro ladro (ma buono).
- Sandbox everything! Trattate ogni file come un potenziale criminale. Colpevole fino a prova contraria!
- Hardening dei sistemi: Disabilitate l’esecuzione di script non necessari. PowerShell è potente, ma anche pericoloso nelle mani sbagliate.
- Network segmentation: Isolate le parti critiche della vostra rete. È come mettere ogni gioiello in una cassaforte separata.
- Educate i vostri utenti: Sì, lo so, è come insegnare a un gatto a non fare le fusa, ma provateci. E poi riprovate. E poi piangete un po’.
- Implementate una strategia di patch management rigorosa: Perché le vulnerabilità non patched sono come porte aperte per i ladri digitali.
Indicatori di Compromissione (IoC) da tenere d’occhio
Network-Based IOCs
PEAKLIGHT NBIs:
- hxxps://fatodex.b-cdn[.]net/fatodex
- hxxps://matodown.b-cdn[.]net/matodown
- hxxps://potexo.b-cdn[.]net/potexo
LUMMAC.V2 C2s:
- relaxtionflouwerwi[.]shop
- deprivedrinkyfaiir[.]shop
- detailbaconroollyws[.]shop
- messtimetabledkolvk[.]shop
- considerrycurrentyws[.]shop
- understanndtytonyguw[.]shop
- patternapplauderw[.]shop
- horsedwollfedrwos[.]shop
- tropicalironexpressiw[.]shop
CRYPTBOT C2s:
- hxxp://gceight8vt[.]top/upload.php
- hxxps://brewdogebar[.]com/code.vue
SHADOWLADDER:
- hxxp://62.133.61[.]56/Downloads/Full%20Video%20HD%20(1080p).lnk
- hxxps://fatodex.b-cdn[.]net/K1.zip
- hxxps://fatodex.b-cdn[.]net/K2.zip
- hxxps://forikabrof[.]click/flkhfaiouwrqkhfasdrhfsa.png
- hxxps://matodown.b-cdn[.]net/K1.zip
- hxxps://matodown.b-cdn[.]net/K2.zip
- hxxps://nextomax.b-cdn[.]net/L1.zip
- hxxps://nextomax.b-cdn[.]net/L2.zip
- hxxps://potexo.b-cdn[.]net/K1.zip
- hxxps://potexo.b-cdn[.]net/K2.zip
Host-Based IOCs
CRYPTBOT:
- erefgojgbu (MD5: d6ea5dcdb2f88a65399f87809f43f83c)
- L2.zip (MD5: 307f40ebc6d8a207455c96d34759f1f3)
- Sеtup.exe (MD5: d8e21ac76b228ec144217d1e85df2693)
LUMMAC.V2:
- oqnhustu (MD5: 43939986a671821203bf9b6ba52a51b4)
- WebView2Loader.dll (MD5: 58c4ba9385139785e9700898cb097538)
PEAKLIGHT:
- Downloader (MD5: 95361f5f264e58d6ca4538e7b436ab67)
- Downloader (MD5: b716a1d24c05c6adee11ca7388b728d3)
SHADOWLADDER:
- Aaaa.exe (MD5: b15bac961f62448c872e1dc6d3931016)
- bentonite.cfg (MD5: e7c43dc3ec4360374043b872f934ec9e)
- cymophane.doc (MD5: f98e0d9599d40ed032ff16de242987ca)
- K1.zip (MD5: b6b8164feca728db02e6b636162a2960)
- K1.zip (MD5: bb9641e3035ae8c0ab6117ecc82b65a1)
- K2.zip (MD5: 236c709bbcb92aa30b7e67705ef7f55a)
- K2.zip (MD5: d7aff07e7cd20a5419f2411f6330f530)
- L1.zip (MD5: a6c4d2072961e9a8c98712c46be588f8)
- LiteSkinUtils.dll (MD5: 059d94e8944eca4056e92d60f7044f14)
- toughie.txt (MD5: dfdc331e575dae6660d6ed3c03d214bd)
- WCLDll.dll (MD5: 47eee41b822d953c47434377006e01fe)
Conclusione: Paranoia è la nostra amica
PEAKLIGHT è la prova che nel mondo della cybersecurity, la paranoia non è un difetto, ma una virtù. Questi attacchi sono sofisticati, stealth e in continua evoluzione. La nostra difesa deve essere altrettanto dinamica e multi-livello.
Ricordate: in un mondo di PEAKLIGHT, siate voi la luce che li scova! Manteniamo alta la guardia, aggiorniamoci costantemente e, per l’amor del cielo, pensateci due volte prima di cliccare su quel link del “nuovo film in anteprima”!
E la prossima volta che qualcuno vi dirà che siete troppo paranoici riguardo alla sicurezza informatica, mostrategli questo articolo. Poi ridete insieme… e poi tornate subito a controllare i vostri sistemi!
Cccessiva, è solo perché non avete ancora visto cosa può fare un vero attacco. Dormite sonni tranquilli… se ci riuscite!
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!