Кампания за зловреден софтуер Noodlophile
Киберпрестъпниците, стоящи зад зловредния софтуер Noodlophile, водят продължаваща кампания, насочена към организации в САЩ, Европа, Балтийските страни и Азиатско-тихоокеанския регион. Чрез комбиниране на тактики за фишинг с развиващи се механизми за доставка, те се стремят да внедрят мощен инструмент за кражба на информация, който продължава да се усъвършенства.
Съдържание
Spear-фишинг с обрат
Кампанията, активна повече от година, се е насочила към фишинг имейли, маскирани като известия за нарушаване на авторски права. Тези имейли не са генерични; нападателите ги персонализират, използвайки разузнавателни данни, като например идентификатори на страници във Facebook и данни за собственост на компании, за да увеличат доверието.
По-ранните вълни на кампанията Noodlophile , разкрити през май 2025 г., разчитаха на фалшиви инструменти, задвижвани от изкуствен интелект, промотирани чрез социални медийни канали като Facebook. Сега преминаването към примамки, свързани с авторски права, бележи нова глава в нейната еволюция. Забележително е, че подобни стратегии са били наблюдавани и преди: през ноември 2024 г. мащабна фишинг кампания използва фалшиви твърдения за нарушаване на авторски права, за да разпространи Rhadamanthys Stealer.
Анатомия на атакуващата верига
Настоящата операция започва с фишинг имейли, генерирани от Gmail, предназначени да заобиколят подозренията, като същевременно внушават спешност около предполагаеми нарушения на авторски права. В имейла линк към Dropbox предоставя ZIP или MSI файл. След като бъде изпълнен, този инсталатор зарежда злонамерен DLL файл чрез легитимни двоични файлове на Haihaisoft PDF Reader. Преди крадеца на Noodlophile да се стартира, се използват пакетни скриптове за създаване на постоянство чрез промяна на записи в системния регистър на Windows.
Особено уклончива техника включва описанията на групи в Telegram, които действат като „решител на мъртви точки“, за да насочат жертвите към действителния сървър за полезен товар, хостван на paste.rs. Този метод усложнява усилията за откриване и премахване, като същевременно позволява динамично доставяне на полезен товар.
Тактиките за избягване се развиват
Надграждайки върху по-ранни кампании, които използваха Base64-кодирани архиви и LOLBins като certutil.exe, настоящата итерация добавя:
- Канали за командване и контрол, базирани на Telegram
- Техники за изпълнение в паметта за избягване на откриване на диск
Тези иновации показват постоянна тенденция към по-сложни механизми за избягване, което прави традиционните защити по-малко ефективни.
Възможности на Noodlophile
Noodlophile не е обикновен крадец на данни, а непрекъснато развиващ се набор от инструменти, предназначен да измъкне широк спектър от чувствителни данни. Настоящият анализ показва, че той може:
- Извличане на данни от браузъра и системна информация.
- Събирайте информация за социалните медии, свързана с бизнеса, особено от Facebook.
Текущият анализ на кода разкрива, че разработчиците работят върху разширяване на функционалността му. Планираните функции включват заснемане на екранни снимки, кейлогинг, извличане на файлове, наблюдение на процеси, мрежово разузнаване, криптиране на файлове и извличане на подробна история на браузъра.
Разширяващ се риск за предприятието
Акцентът на кампанията върху данните от браузърите и социалните медии подчертава целенасочена стратегия: да се компрометират предприятия със силно онлайн присъствие. С разработване на нови функции, Noodlophile може да се превърне в по-гъвкава и опасна заплаха, комбинираща шпионаж, кражба на идентификационни данни и потенциално дори възможности, подобни на ransomware, в бъдеще.
