Novità malware (www.economiafinanzaonline.it)
Un nuovo malware denominato LightPerlGirl sta destando preoccupazione nel panorama della sicurezza informatica.
Un nuovo malware denominato LightPerlGirl sta destando preoccupazione nel panorama della sicurezza informatica per la sua capacità di eludere i tradizionali sistemi antivirus e attivarsi attraverso un semplice gesto dell’utente. La minaccia si basa su una tecnica innovativa, chiamata ClickFix, che sfrutta una falsa finestra pop-up CAPTCHA per avviare un complesso processo di infezione e nascondere il codice dannoso.
Il meccanismo di infezione di LightPerlGirl e la tecnica ClickFix
L’attacco di LightPerlGirl prende avvio dalla visita a un sito compromesso, spesso ospitato su piattaforme WordPress e mascherato da risorsa legata al settore turistico. All’interno di queste pagine viene iniettato un codice JavaScript malevolo che si presenta come un controllo di sicurezza di provider affidabili come Cloudflare. L’utente si trova davanti a una finestra pop-up che sembra un CAPTCHA autentico, ma in realtà si tratta di un meccanismo ingannevole.
Interagendo con questo falso CAPTCHA, l’utente viene indotto ad avviare tramite la funzione “Esegui” di Windows uno script PowerShell nocivo, dando così il via alla prima fase dell’attacco. Questo metodo, definito ClickFix, sfrutta la fiducia e la disattenzione per eseguire codice dannoso senza che l’utente se ne accorga realmente.
Una volta attivato, lo script PowerShell contatta un server di comando e controllo (C&C) all’indirizzo “cmbkz8kz1000108k2carjewzf[.]info” per scaricare altri componenti dannosi. Il codice si esegue interamente in memoria, senza lasciare tracce sul disco, rendendo estremamente difficile il rilevamento da parte dei programmi antivirus.
Il malware è strutturato in tre moduli principali: HelpIO, Urex ed ExWpL. Ognuno svolge un ruolo specifico per assicurare l’invisibilità e la persistenza dell’infezione:
- HelpIO richiede i permessi di amministratore tramite la finestra UAC e aggiunge un’eccezione a Windows Defender per la cartella “C:\Windows\Temp”, permettendo così di salvare i componenti successivi senza allarmi.
- Urex garantisce la persistenza creando un file batch denominato “LixPay.bat” e posizionandolo nella cartella esclusa dalla scansione. Inoltre, aggiunge un collegamento all’avvio automatico del sistema per assicurare che il malware si riattivi a ogni accensione.
- ExWpL rappresenta l’elemento più sofisticato: decrittografa un assembly .NET codificato in base64 e lo esegue direttamente in memoria tramite il metodo System.Reflection.Assembly.Load(), evitando completamente l’uso del file system e complicando ulteriormente il rilevamento.
Questa architettura consente a LightPerlGirl di mantenere una connessione stabile con il server C&C, permettendo agli aggressori di inviare comandi in tempo reale e scaricare ulteriori moduli senza lasciare tracce visibili.
L’analisi condotta dai ricercatori di Todyl ha evidenziato come il successo del malware sia stato facilitato dall’assenza di sistemi di protezione degli endpoint adeguati sul dispositivo infetto. La mancanza di strumenti di difesa ha permesso l’esecuzione dello script PowerShell iniziale, che altrimenti sarebbe stato bloccato.
Gli esperti sottolineano che nessun controllo di sicurezza dovrebbe mai richiedere l’inserimento manuale di comandi da parte dell’utente, una regola fondamentale che questo attacco infrange per sfruttare l’ingegneria sociale. Viene quindi raccomandato di adottare urgentemente soluzioni di sicurezza complete per gli endpoint e di effettuare analisi approfondite utilizzando gli indicatori di compromissione forniti nel report di Todyl.