LightPerlGirl: Il Malware Invisibile che Sfugge agli Antivirus e Si Attiva con un Click

Un nuovo malware chiamato LightPerlGirl ha attirato l’attenzione degli esperti di sicurezza informatica per il suo insolito e pericoloso schema di penetrazione dei dispositivi. L’attacco si basa sulla tecnica ClickFix : una finta finestra pop-up CAPTCHA che avvia una complessa sequenza di azioni utilizzando PowerShell e metodi che consentono al codice dannoso di nascondersi completamente dalle soluzioni di sicurezza.

Il nome del malware trae ispirazione dalla riga interna del copyright: “Copyright (c) LightPerlGirl 2025“. La campagna di distribuzione del malware è stata notata per la prima volta dai ricercatori di Todyl dopo aver rilevato script PowerShell anomali su un dispositivo client. Questo è diventato il punto di partenza per indagare su un complesso schema di infezione a più fasi in grado di bypassare i meccanismi di difesa tradizionali.

L’infezione inizia visitando un sito compromesso, il più delle volte sulla piattaforma WordPress, come una risorsa di viaggio. Le pagine ospitano codice JavaScript dannoso, mascherato da controllo di sicurezza di provider noti come Cloudflare. Lo script richiama una finestra con un CAPTCHA falso che, interagendo con esso, richiede all’utente di avviarlo tramite la funzione Esegui di Windows, essenzialmente la prima fase dell’attacco.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Questo comando contatta il server C&C all’indirizzo “cmbkz8kz1000108k2carjewzf[.]info”, da cui viene scaricato il seguente script di PowerShell. Viene eseguito interamente in memoria e include tre moduli: HelpIO, Urex ed ExWpL. Ognuno di essi esegue attività specifiche volte a proteggere il malware nel sistema e a renderlo invisibile.

Il modulo HelpIO richiede i diritti amministrativi tramite la finestra UAC standard e aggiunge quindi un’eccezione a Windows Defender per la directory “C:\Windows\Temp”. Ciò consente il salvataggio dei componenti successivi senza generare allarmi nei programmi antivirus. Urex garantisce quindi una presenza persistente nel sistema scaricando un file bat chiamato “LixPay.bat” e posizionandolo nella directory Temp esclusa. Crea inoltre un collegamento all’avvio in modo che venga eseguito a ogni avvio del sistema.

L’elemento più complesso, ExWpL, non utilizza affatto il file system. Decrittografa un assembly .NET codificato in base64 e lo esegue direttamente in memoria utilizzando il metodo System.Reflection.Assembly.Load(). Questo approccio evita qualsiasi interazione con il disco, il che complica notevolmente il rilevamento.

Dopo aver completato tutte le fasi, il malware mantiene una connessione stabile con il server di comando e controllo, consentendo agli aggressori di eseguire comandi in tempo reale e di scaricare nuovi componenti senza lasciare tracce nel file system.

Secondo Todyl, il fattore critico dell’infezione è stata la mancanza di sistemi di protezione degli endpoint sul dispositivo attaccato, che ha consentito l’esecuzione dello script iniziale. Tuttavia, il team dell’azienda è riuscito a isolare l’host infetto utilizzando il proprio SIEM e l’analisi dei log degli script di PowerShell.

La chiave dell’attacco è il coinvolgimento dell’utente. Tutto inizia con un singolo clic su un CAPTCHA “sicuro” che esegue effettivamente il codice. Todyl sottolinea che nessun controllo di sicurezza dovrebbe richiedere l’inserimento manuale di comandi. Inoltre, si raccomanda di installare urgentemente strumenti di protezione completa degli endpoint e di utilizzare gli indicatori di compromissione forniti nel report per condurre un’analisi dell’infrastruttura.

LightPerlGirl è un esempio di come l’elegante ingegneria sociale e la sofisticatezza tecnica si fondano per creare una minaccia che non può essere ignorata.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.